Mozilla發(fā)布了針對(duì)Firefox嚴(yán)重漏洞的補(bǔ)丁

如果您使用Fire fox作為您的瀏覽器，您可能希望盡快更新它。今天早些時(shí)候，Mozilla匆忙推出了72.0.1版（和ESR68.4.1），以修復(fù)一個(gè)正在野外積極開(kāi)發(fā)的漏洞，以完全控制運(yùn)行流行開(kāi)源瀏覽器的易受攻擊位的機(jī)器。

如果你需要另一個(gè)理由來(lái)?yè)?dān)心使用未補(bǔ)丁版本，美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）發(fā)布了一份安全咨詢(xún)，解釋說(shuō)有足夠的證據(jù)表明黑客正在利用這一零天缺陷。

Mozilla說(shuō)，中國(guó)奇虎360的研究人員發(fā)現(xiàn)并報(bào)告了這一漏洞。顯然，一個(gè)被索引為CVE-2019-17026的bug是一個(gè)“類(lèi)型混淆”漏洞，它影響了IonMonkey的及時(shí)編譯器，這是Mozilla的SpiderMonkey JavaScript引擎的重要組成部分。

簡(jiǎn)單地說(shuō)，它是一個(gè)內(nèi)存錯(cuò)誤，程序?qū)①Y源分配為一種類(lèi)型，但后來(lái)以另一種類(lèi)型訪(fǎng)問(wèn)這些資源。這允許攻擊者訪(fǎng)問(wèn)存儲(chǔ)在通常不受限制的其他內(nèi)存位置的數(shù)據(jù)，并通過(guò)專(zhuān)門(mén)制作的網(wǎng)頁(yè)在脆弱的系統(tǒng)上執(zhí)行代碼。

該缺陷已經(jīng)在Fire fox72.0.1中修復(fù)，就在72版本發(fā)布24小時(shí)后，修復(fù)了其他11個(gè)漏洞。去年，兩個(gè)嚴(yán)重的零日缺陷讓攻擊者在加密貨幣交易所Coinbase的運(yùn)營(yíng)商使用的Mac電腦上滑出了一扇基本上未被發(fā)現(xiàn)的后門(mén)。