Firefox又要升级了!本周内,Mozilla第二度发布Firefox零时差漏洞公告,呼吁用户升级到最新版本。而一周接连二起来自Coinbase通报的漏洞,显示黑客可能锁定加密货币用户。
最新公告编号CVE-2019-11708的漏洞为存在Prompt:Open IPC(Inter-process communication)消息的沙箱逃逸(sandbox escape)漏洞。由于参数检查不足,致非沙箱内的父行程打开了由子行程选取的网页内容,黑客只要篡改子行程即可发动攻击。若结合Mozilla本周修补的CVE-2019-11707类型混淆(Type confusion)漏洞,可使其在用户计算机上执行任意程序代码,因而再度被列为重大(critical)风险。
本周二个漏洞都是由加密货币交易平台Coinbase的安全部门通报,显示黑客正在对加密货币用户发动攻击。
如果你这两天才因漏洞升级Firefox 67.0.3及ESR 60.7.1,Mozilla希望你再多动一次手,升级到Firefox 67.0.4及Firefox ESR 60.7.2版。