台灣電腦網路危機處理暨協調中心(TWCERT/CC)今(14)天表示,Firefox日前發現一個資安漏洞,該漏洞可導致駭侵控制電腦。提醒使用者升級 Firefox 版本,以修補漏洞。
TWCERT/CC 今天表示,開放源碼瀏覽器 Firefox 日前遭發現一個編號為 CVE-2019-17026 的嚴重 0-dayt 資安漏洞,該漏洞被評級為 Critical 等級,而且可能已遭到大規模濫用。
TWCERT/CC 表示,被發現這個漏洞的 Firefox 產品除了一般版 Firefox 外,也包括長期支援版本 Firefox ESR。
TWCERT/CC 指出,這個 0-day 資安漏洞屬於 type fusion 類型,可能造成在記憶體禁區中,原本禁止存取的資料遭到不當讀取與寫入。這類的資料越界存取,有可能造成駭侵者跳過某些記憶體保護機制,植入並執行惡意軟體,進而控制受害者的電腦系統。
TWCERT/CC 說,針對這個 0-day 漏洞可能造成的危害,美國網路與基礎設施安全局官員表示,該局已偵測到大規模利用這個漏洞進行的駭侵攻擊,但攻擊行動相關的細節資訊目前仍未公開。
TWCERT/CC 表示,這個 0-day 漏洞是在日前由中國的奇虎 360 ATA 資安研究團隊所發現,並且即時通報 Firefox 主要開發維護商 Mozilla 知悉。
Firefox 在本周二(14)推出的新版 Firefox 72.0.1,已經修正了這個 0-day 漏洞;這個版本也解決了前一版本中的多個程式錯誤與資安漏洞。
Mozilla 建議所有 Firefox 用戶,應立即改新至最新版本,以儘快補上此一漏洞,避免受到駭侵攻擊影響。Firefox ESR 的用戶也應立即更新。