Firefox又要升級了!本周內,Mozilla第二度發佈Firefox零時差漏洞公告,呼籲用戶升級到最新版本。而一周接連二起來自Coinbase通報的漏洞,顯示駭客可能鎖定加密貨幣用戶。

最新公告編號CVE-2019-11708的漏洞為存在Prompt:Open IPC(Inter-process communication)訊息的沙箱逃逸(sandbox escape)漏洞。由於參數檢查不足,致非沙箱內的父行程開啟了由子行程選取的網頁內容,駭客只要竄改子行程即可發動攻擊。若結合Mozilla本周修補的CVE-2019-11707類型混淆(Type confusion)漏洞,可使其在用戶電腦上執行任意程式碼,因而再度被列為重大(critical)風險。

本周二個漏洞都是由加密貨幣交易平台Coinbase的安全部門通報,顯示駭客正在對加密貨幣用戶發動攻擊。

如果你這兩天才因漏洞升級Firefox 67.0.3及ESR 60.7.1,Mozilla希望你再多動一次手,升級到Firefox 67.0.4及Firefox ESR 60.7.2版。


Advertisement

更多 iThome相關內容