Firefox安全漏洞风险通告
发布时间 2020-01-10漏洞编号和级别
CVE编号:CVE-2019-17026,危险级别:高危,CVSS分值:官方未评定
影响版本
Firefox 72.0.1和Firefox ESR 68.4.1之前版本
漏洞概述
Mozilla Firefox和Mozilla Firefox ESR都是美国Mozilla基金会的产品。Mozilla Firefox是一款开源Web浏览器。Mozilla Firefox ESR是Firefox(Web浏览器)的一个延长支持版本。
Mozilla发布了Firefox 72.0.1和Firefox ESR 68.4.1,修复已在野外被积极利用的漏洞(CVE-2019-17026)。该漏洞是用于Mozilla的JavaScript引擎SpiderMonkey的JavaScript实时(JIT)编译器IonMonkey中的一个类型混淆漏洞。根据Mozilla的建议,JIT编译器中存在缺陷,因为“设置数组元素的别名信息不正确”,特别是在StureEnthPople和FaliLabSturEngEnter中。潜在攻击者可通过将用户重定向至恶意网页来触发该漏洞,导致代码执行或触发崩溃。美国CISA也发出警告称攻击者可能利用此漏洞来控制受影响的系统,并建议用户查看Mozilla安全通报和应用安全更新。
漏洞验证
暂无POC/EXP。
修复建议
Mozilla已发布了Firefox 72.0.1和Firefox ESR 68.4.1。由于此漏洞已在目标攻击中被利用,建议Firefox用户尽快升级:https://www.mozilla.org/en-US/security/advisories/mfsa2020-03/。
参考链接
https://www.bleepingcomputer.com/news/security/mozilla-firefox-7201-patches-actively-exploited-zero-day/
京公网安备11010802024551号