Mozilla在安全研究人员发现黑客正在对用户的“定向攻击”中积极利用的漏洞之后,警告Firefox用户将其浏览器更新至最新版本。
此漏洞是中国安全部门发现的Firefox的即时编译器中找到了公司Qihoo 360。编译器的任务是提高JavaScript的性能,以使网站加载速度更快。但是研究人员发现,该漏洞可能允许恶意JavaScript在主机计算机上的浏览器外部运行。
实际上,这意味着攻击者可以通过诱使受害者访问恶意软件来悄悄地侵入受害者的计算机。网站运行着恶意的JavaScript代码。
但是Qihoo并未确切说明该漏洞的利用方式,攻击者是谁或攻击者是谁。
浏览器漏洞是安全中的热门商品可以用来感染易受感染的计算机(通常是无声地,无须用户注意的情况),并且可以用来传播恶意软件或勒索软件。浏览器也是民族国家和政府及其使用监视工具(称为网络调查技术或NIT)的目标。这些漏洞利用工具已被联邦特工用来监视和抓捕罪犯。但是这些工具引起了安全社区的愤慨,因为美联储未能向软件制造商披露这些错误可能会导致不良行为者出于恶意目的利用相同的漏洞。
Mozilla为Firefox 72发布了安全公告,国土安全部的网络咨询部门,网络安全和基础设施安全局(Cybersecurity and Infrastructure Security Agency)也发出了安全警告,建议用户更新到Firefox 72.0.1,该漏洞已经被发现了两天。修复漏洞。几乎没有提供有关该错误的信息,只是可以将其用于“控制受影响的系统”。