Mozilla發(fā)布了針對Firefox嚴(yán)重漏洞的補(bǔ)丁

如果您使用Fire fox作為您的瀏覽器，您可能希望盡快更新它。今天早些時(shí)候，Mozilla匆忙推出了72.0.1版（和ESR68.4.1），以修復(fù)一個(gè)正在野外積極開發(fā)的漏洞，以完全控制運(yùn)行流行開源瀏覽器的易受攻擊位的機(jī)器。

如果你需要另一個(gè)理由來擔(dān)心使用未補(bǔ)丁版本，美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）發(fā)布了一份安全咨詢，解釋說有足夠的證據(jù)表明黑客正在利用這一零天缺陷。

Mozilla說，中國奇虎360的研究人員發(fā)現(xiàn)并報(bào)告了這一漏洞。顯然，一個(gè)被索引為CVE-2019-17026的bug是一個(gè)“類型混淆”漏洞，它影響了IonMonkey的及時(shí)編譯器，這是Mozilla的SpiderMonkey JavaScript引擎的重要組成部分。

簡單地說，它是一個(gè)內(nèi)存錯(cuò)誤，程序?qū)①Y源分配為一種類型，但后來以另一種類型訪問這些資源。這允許攻擊者訪問存儲在通常不受限制的其他內(nèi)存位置的數(shù)據(jù)，并通過專門制作的網(wǎng)頁在脆弱的系統(tǒng)上執(zhí)行代碼。

該缺陷已經(jīng)在Fire fox72.0.1中修復(fù)，就在72版本發(fā)布24小時(shí)后，修復(fù)了其他11個(gè)漏洞。去年，兩個(gè)嚴(yán)重的零日缺陷讓攻擊者在加密貨幣交易所Coinbase的運(yùn)營商使用的Mac電腦上滑出了一扇基本上未被發(fā)現(xiàn)的后門。