Mozilla已发布其Firefox浏览器的紧急更新,以修复一个允许攻击者控制用户机器的关键漏洞。版本67.0.3和ESR 60.7.1已发布给Windows,macOS和Linux桌面计算机上的用户,以缓解被称为CVE-2018-11707的零日漏洞。该漏洞不会出现,也不会出现在浏览器的Android,iOS或亚马逊Fire TV上。
据Mozilla称,当被利用时,它允许攻击者在有缺陷的机器上执行任意代码,并在野外被积极利用。如果一个系统,这可能会让网络罪犯抓住完全控制权。
这个关键漏洞是由SamuelGroß从Google Project Zero发现的,涉及到Array.pop中所谓的类型混淆。触发后,由于浏览器尝试操作JavaScript对象时出现问题,这可能导致可利用的崩溃。
Mozilla认为,当一个漏洞可用于运行代码和安装软件而不需要在正常浏览之外进行任何用户交互时,它就是“关键”漏洞。
严重的零日缺陷并不罕见,但在网络分子能够发现它们并开始远程攻击用户之前,开发人员经常会发现并减轻这些缺陷。
Mozilla在Firefox 67和Firefox ESR 60.7中发现的以前关键的零日漏洞是今年5月21日标记的内存安全漏洞。在这种情况下,没有发现攻击者利用这些漏洞。
去年,独立于Mozilla的安全研究人员发现了另一个引人注目的Firefox漏洞。在网络巨头思科发现可能允许远程攻击者执行恶意代码的问题后,开发人员发布了紧急补丁并敦促用户更新他们的浏览器。
此消息也是在Mozilla计划在Firefox中引入一系列安全和以隐私为中心的功能的时候,包括安全存储和虚拟专用网络(VPN)等工具。
其中许多新功能可能出现在基于订阅的Firefox浏览器版本中,开发人员上周暗示可能会在2019年底之前出现。