圖片來源: 

Mozilla

Mozilla周二發佈Firefox的安全公告,Firefox出現可讓駭客遠端執行惡意程式碼的重大漏洞,同時也發現網路上已有攻擊程式流傳,呼籲用戶儘速升級到最新版本。

編號CVE-2019-11707的漏洞是由Google 抓蟲小組Project Zero研究人員Samuel Groß發現。它屬於一種類型混淆(Type confusion)漏洞,當攻擊者改造JavaScript物件,可能導致Array.pop發生類型混淆,而允許程式碼執行。一旦Firefox使用者被導向惡意網站,可能讓駭客得以遠端執行任意程式碼。

這項漏洞被列為重大(critical)風險,影響Firefox及Firefox ESR版本瀏覽器。Mozilla並表示已經發現有攻擊程式開採這項漏洞發動精準攻擊。由於通報者還包括加密貨幣交易平台Coinbase的資安小組,可能表示這波駭客攻擊下手目標是加密貨幣持有者。

Mozilla已經釋出最新Firefox 67.0.3及Firefox ESR 60.7.1修補本漏洞,呼籲用戶儘速升級到最新版本。


Advertisement

更多 iThome相關內容