安全预警 ——Firefox远程代码执行漏洞

1 漏洞描述

Mozilla Firefox，中文俗称“火狐”，是一个自由及开放源代码的网页浏览器，使用Gecko排版引擎，支持多种操作系统，如Windows、Mac OS X及GNU/Linux等。该浏览器提供了两种版本，普通版和ESR（延长支持）版，ESR版本是Mozilla专门为那些无法或不愿每隔六周就升级一次的企业打造。Firefox ESR 版的升级周期为 42周，普通 Firefox 的升级周期为 6 周。

近日，互联网爆出Firefox存在远程代码执行漏洞（CVE-2019-11708）。该漏洞是由于Array.pop中的问题，操作JavaScript对象时可能会出现类型混淆漏洞。利用该漏洞，攻击者可误导目标用户访问恶意网站，并在该网站中植入漏洞攻击代码，最终获得在目标用户终端设备远程执行任意代码的权限，从而控制目标用户的终端设备。该漏洞危害程度为 高危(High) 。目前，该漏洞已经被攻击者用于发起定向攻击，厂商已发布新版本修复此漏洞。

fE3yAnE.jpg!web

2 影响范围

受影响版本：

Firefox< 67.0.3

Firefox ESR < 60.7.1

3 修复建议

目前，Mozilla厂商已发布新版本修复此漏洞，建议用户立即升级至最新版本：

1)适用于Windows 64位的Firefox 67.0.3

https://download.mozilla.org/?product=firefox-latest-ssl&os=win64&lang=en-US

2)Firefox67.0.3for Windows 32位

https://download.mozilla.org/?product=firefox-latest-ssl&os=win&lang=en-US

3)适用于macOS的Firefox 67.0.3

https://download.mozilla.org/?product=firefox-latest-ssl&os=linux64&lang=en-US

4)Firefox67.0.3for Linux 64位

https://download.mozilla.org/?product=firefox-latest-ssl&os=win64&lang=en-US

5)Firefox67.0.3for Linux 32位

https://download.mozilla.org/?product=firefox-latest-ssl&os=linux&lang=en-US

ZNFfimI.jpg!web

yE3AZvM.jpg!web

1)适用于Windows 64位的Firefox 67.0.3

2)Firefox67.0.3for Windows 32位

3)适用于macOS的Firefox 67.0.3

4)Firefox67.0.3for Linux 64位

5)Firefox67.0.3for Linux 32位

Recommend

外包 vs 技术导向型 vs 业务驱动型，码农跳槽何去何从？

Deepfake 再升级！一张照片 + 音频“复活”爱因斯坦

[译] Go语言调度器 by Daniel Morsing

Avoiding instruction cache misses

Spring 源码学习(五) 循环依赖

5G时代，WiFi是被淘汰，还是变得更强大？_创事记_新浪科技_新浪网

你眼中的云南是什么样的？ - 知乎

在部队有哪些感动的事情让你一辈子都忘不了？ - 知乎

再谈Chrome的最小字体12px限制 · 语雀

JEP 356: Enhanced Pseudo-Random Number Generators

About Joyk