首頁 > 安全研究 > 安全通報 > 安全通告

Firefox安全漏洞風險通告

發布時間 2020-01-10

漏洞編號和級別


CVE編號:CVE-2019-17026,危險級別:高危,CVSS分值:官方未評定


影響版本


Firefox 72.0.1和Firefox ESR 68.4.1之前版本


漏洞概述


Mozilla Firefox和Mozilla Firefox ESR都是美國Mozilla基金會的產品。Mozilla Firefox是一款開源Web瀏覽器。Mozilla Firefox ESR是Firefox(Web瀏覽器)的一個延長支持版本。


Mozilla發布了Firefox 72.0.1和Firefox ESR 68.4.1,修復已在野外被積極利用的漏洞(CVE-2019-17026)。該漏洞是用于Mozilla的JavaScript引擎SpiderMonkey的JavaScript實時(JIT)編譯器IonMonkey中的一個類型混淆漏洞。根據Mozilla的建議,JIT編譯器中存在缺陷,因為“設置數組元素的別名信息不正確”,特別是在StureEnthPople和FaliLabSturEngEnter中。潛在攻擊者可通過將用戶重定向至惡意網頁來觸發該漏洞,導致代碼執行或觸發崩潰。美國CISA也發出警告稱攻擊者可能利用此漏洞來控制受影響的系統,并建議用戶查看Mozilla安全通報和應用安全更新。


漏洞驗證


暫無POC/EXP。


修復建議


Mozilla已發布了Firefox 72.0.1和Firefox ESR 68.4.1。由于此漏洞已在目標攻擊中被利用,建議Firefox用戶盡快升級:https://www.mozilla.org/en-US/security/advisories/mfsa2020-03/。


參考鏈接


https://www.bleepingcomputer.com/news/security/mozilla-firefox-7201-patches-actively-exploited-zero-day/


上一篇 下一篇