Mozilla才在今年1月7日釋出可封鎖指紋追蹤的Firefox 72.0與Firefox ESR 68.4,隔天就立即發表Firefox 72.0.1及Firefox ESR 68.4.1,以修補已被駭客開採的CVE-2019-17026安全漏洞。

根據Mozilla的說明,CVE-2019-17026藏匿在Firefox的IonMonkey JIT編譯器中,在設定陣列元素時,若採用錯誤的別人資訊,即會造成類型混淆(Type Confusion)。類型混淆可能導致記憶體越界存取,而讓程式當掉或允許駭客執行任意程式。

Mozilla只說已有駭客利用該漏洞展開目標式攻擊,並未公布詳細的攻擊手法。資安專家則說駭客只要設立一個惡意網站,並將Firefox用戶導至該站就能開採該漏洞。

此一漏洞同時影響Windows、macOS及Linux平台的Firefox與Firefox ESR,Mozilla督促用戶應儘快部署取新的版本。


Advertisement

更多 iThome相關內容