開放源碼瀏覽器 Firefox 日前遭發現一個編號為 CVE-2019-17026 的嚴重 0-day 資安漏洞,該漏洞被評級為 Critical 等級,而且可能已遭到大規模濫用。
被發現這個漏洞的 Firefox 產品除了一般版 Firefox 外,也包括長期支援版本 Firefox ESR。
這個 0-day 資安漏洞屬於 type fusion 類型,可能造成在記憶體禁區中,原本禁止存取的資料遭到不當讀取與寫入。這類的資料越界存取,有可能造成駭侵者跳過某些記憶體保護機制,植入並執行惡意軟體,進而控制受害者的電腦系統。
針對這個 0-day 漏洞可能造成的危害,美國網路與基礎設施安全局官員表示,該局已偵測到大規模利用這個漏洞進行的駭侵攻擊,但攻擊行動相關的細節資訊目前仍未公開。
這個 0-day 漏洞是在日前由中國的奇虎 360 ATA 資安研究團隊所發現,並且即時通報 Firefox 主要開發維護商 Mozilla 知悉。
Firefox 在本周二推出的新版 Firefox 72.0.1,已經修正了這個 0-day 漏洞;這個版本也解決了前一版本中的多個程式錯誤與資安漏洞。
Mozilla 建議所有 Firefox 用戶,應立即改新至最新版本,以儘快補上此一漏洞,避免受到駭侵攻擊影響。Firefox ESR 的用戶也應立即更新。
- CVE編號:CVE-2019-17026
- 影響版本:Firefox 72.0 之前版本、Firefox ESR 68.4 之前版本
- 解決方案:更新 Firefox 至 72.0.1 之後版本、更新 Firefox ESR 至 68.4.1 之後版本
相關連結
- https://www.mozilla.org/en-US/security/advisories/mfsa2020-03/
- https://www.us-cert.gov/ncas/current-activity/2020/01/08/mozilla-patches-critical-vulnerability
- https://arstechnica.com/information-technology/2020/01/firefox-gets-patch-for-critical-zeroday-thats
台灣網路資訊中心定期精選資安新聞,提供中心部落格讀者了解目前資安發展之最新動態。原文連結為:https://www.twcert.org.tw/tw/cp-104-3241-f0d87-1.html
