您的瀏覽器似乎不支援JavaScript語法,但沒關係,這裡的JavaScript語法並不會影響 到內容的陳述, 如需要選擇字級大小,IE6請利用鍵盤按住ALT鍵+ V → X → (G)最大 (L)較大(M)中(S)較小(A)小,來選擇適合您的文字大小, 而IE7或Firefox瀏覽器則可 利用鍵盤 Ctrl + (+)放大(-)縮小來改變字型大小,如需要回到上一頁可使用瀏覽器提 供的 Alt+左方向鍵(←) 快速鍵功能,列印可使用瀏覽器提供的(Ctrl+P)功能。
News Detail Banner
> 首頁 > 資安新聞

資安新聞

Firefox存在重大漏洞

Mozilla於6/18發布Firefox安全公告,Firefox出現可遠端執行惡意程式碼之重大漏洞,且網路上已有攻擊程式流傳,呼籲用戶儘速升級到最新版本。編號CVE-2019-11707漏洞是由Google Project Zero研究人員Samuel Groß所發現,屬於一種類型混淆(Type Confusion)漏洞,當攻擊者改編JavaScript物件,可能導致Array.pop發生類型混淆,進而允許程式碼執行,讓駭客得以遠端執行任意程式碼。

Mozilla於6/20第二度發布Firefox安全公告,編號CVE-2019-11708漏洞為存在Prompt:Open IPC (Inter-Process Communication)訊息的沙箱逃逸(Sandbox Escape)漏洞。由於參數檢查不足,導致非沙箱內的主行程開啟由子行程選取之網頁內容,駭客只要竄改子行程即可發動攻擊。若結合Mozilla CVE-2019-11707漏洞,可使其在用戶電腦上執行任意程式碼。

這兩項漏洞均被列為重大(Critical)風險,影響Firefox及Firefox ESR版本瀏覽器。Mozilla並表示已發現有攻擊程式,利用漏洞發動精準攻擊。由於通報者包括加密貨幣交易平台Coinbase安全部門,顯示這波駭客攻擊下手目標很可能是加密貨幣持有者。Mozilla已釋出最新Firefox版本修補此漏洞,並呼籲用戶須儘速升級到最新版本。

Reference

資料來源:
https://www.theinquirer.net/inquirer/news/3077604/firefox-critical-zero-day-flaw
https://threatpost.com/mozilla-fixes-second-actively-exploited-firefox-flaw/145893/
https://www.mozilla.org/en-US/security/advisories/mfsa2019-18/
https://www.mozilla.org/en-US/security/advisories/mfsa2019-19/
https://www.ithome.com.tw/news/131341
https://www.ithome.com.tw/news/131403
技術服務中心整理

Publish Date
2019/7/1 0:00:00