按 Enter 到主內容區
:::

TWCERT-電子報

:::

Firefox 修補可能遭駭侵控制電腦的資安漏洞

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2020-02-10
  • 點閱次數:189
TWCERT/CC Firefox 修補可能遭駭侵控制電腦的資安漏洞

CVE編號

CVE-2019-17026

內文

開放源碼瀏覽器 Firefox 日前遭發現一個編號為 CVE-2019-17026 的嚴重 0-day 資安漏洞,該漏洞被評級為 Critical 等級,而且可能已遭到大規模濫用。

被發現這個漏洞的 Firefox 產品除了一般版 Firefox 外,也包括長期支援版本 Firefox ESR。

這個 0-day 資安漏洞屬於 type fusion 類型,可能造成在記憶體禁區中,原本禁止存取的資料遭到不當讀取與寫入。這類的資料越界存取,有可能造成駭侵者跳過某些記憶體保護機制,植入並執行惡意軟體,進而控制受害者的電腦系統。

針對這個 0-day 漏洞可能造成的危害,美國網路與基礎設施安全局官員表示,該局已偵測到大規模利用這個漏洞進行的駭侵攻擊,但攻擊行動相關的細節資訊目前仍未公開。

這個 0-day 漏洞是在日前由中國的奇虎 360 ATA 資安研究團隊所發現,並且即時通報 Firefox 主要開發維護商 Mozilla 知悉。

Firefox 在本周二推出的新版 Firefox 72.0.1,已經修正了這個 0-day 漏洞;這個版本也解決了前一版本中的多個程式錯誤與資安漏洞。

Mozilla 建議所有 Firefox 用戶,應立即更新至最新版本,以儘快補上此一漏洞,避免受到駭侵攻擊影響。Firefox ESR 的用戶也應立即更新。

影響產品

Firefox 72.0 之前版本、Firefox ESR 68.4 之前版本

解決辦法

更新 Firefox 至 72.0.1 之後版本、更新 Firefox ESR 至 68.4.1 之後版本
回頁首