路由网mozilla 推出了 firefox 67.0.3 和 firefox esr 60.7.1 更新,旨在紧急解决一个刚被发现的 0day 漏洞。安全公告中详细说明了问题:在 array.pop 的处理过程中存在缺陷,导致操作 javascript 对象时可能发生类型混淆漏洞。这一情况可能会引发可被利用的程序崩溃现象。据观察,已有针对此漏洞的定向攻击行为。
这意味着,攻击者能够通过操控 JavaScript 脚本,诱使用户访问特定链接,从而向其设备部署恶意软件。
此漏洞由 Google Project Zero 安全研究小组的 Samuel Groß 发现并通报,漏洞编号为 CVE-2019-11707,其危险级别被评定为“高危”。同时,美国网络安全与基础设施安全局(CISA)也已加入,协助推广修复补丁的相关信息。
据传,某些黑客可能正利用此漏洞实施加密货币窃取活动。不过,除了 Mozilla 官方网站上的简要说明外,尚未有更多关于漏洞细节或实际攻击的进一步披露。
以强调安全性与隐私保护闻名的 Firefox 遇到此类 0day 漏洞的情况相当少见,上一次 Mozilla 团队紧急修复类似漏洞还是在 2016 年 12 月。
当前,Mozilla 安全部门敦促所有 Firefox 用户立即更新至最新版本,以防潜在的安全威胁。
