Firefox存在重大漏洞

• 發布日期：108-12-04
• 發布單位：刑事警察大隊

Mozilla於6/18發布Firefox安全公告，Firefox出現可遠端執行惡意程式碼之重大漏洞，且網路上已有攻擊程式流傳，呼籲用戶儘速升級到最新版本。編號CVE-2019-11707漏洞是由Google Project Zero研究人員Samuel Groß所發現，屬於一種類型混淆(Type Confusion)漏洞，當攻擊者改編JavaScript物件，可能導致Array.pop發生類型混淆，進而允許程式碼執行，讓駭客得以遠端執行任意程式碼。
Mozilla於6/20第二度發布Firefox安全公告，編號CVE-2019-11708漏洞為存在Prompt:Open IPC (Inter-Process Communication)訊息的沙箱逃逸(Sandbox Escape)漏洞。由於參數檢查不足，導致非沙箱內的主行程開啟由子行程選取之網頁內容，駭客只要竄改子行程即可發動攻擊。若結合Mozilla CVE-2019-11707漏洞，可使其在用戶電腦上執行任意程式碼。
這兩項漏洞均被列為重大(Critical)風險，影響Firefox及Firefox ESR版本瀏覽器。Mozilla並表示已發現有攻擊程式，利用漏洞發動精準攻擊。由於通報者包括加密貨幣交易平台Coinbase安全部門，顯示這波駭客攻擊下手目標很可能是加密貨幣持有者。Mozilla已釋出最新Firefox版本修補此漏洞，並呼籲用戶須儘速升級到最新版本。
資料來源參考：
https://www.theinquirer.net/inquirer/news/3077604/firefox-critical-zero-day-flaw
https://threatpost.com/mozilla-fixes-second-actively-exploited-firefox-flaw/145893/
https://www.mozilla.org/en-US/security/advisories/mfsa2019-18/
https://www.mozilla.org/en-US/security/advisories/mfsa2019-19/
https://www.ithome.com.tw/news/131341
https://www.ithome.com.tw/news/131403
參考網站：
https://www.nccst.nat.gov.tw/NewsRSSDetail?lang=zh&RSSType=news&seq=16264