时隔两天,火狐浏览器再发新版本 67.0.4,修复和第1个0day出现于同样攻击中的另外一个0day。火狐浏览器用户应立即安装更新。
火狐发布67.0.3版本修复已被用于针对性攻击中的一个严重的远程代码执行漏洞。之后,研究人员发现该漏洞和另外一个未知漏洞被组合用于钓鱼攻击中,以在受害者机器上释放并执行恶意 payload。
沙箱逃逸 0day 漏洞
这个未知漏洞是 Coinbase Security 提交的一个沙箱逃逸漏洞CVE-2019-11708,它可导致攻击者从浏览器受保护的沙箱中逃逸。链接该0day和在67.0.3版本中修复的漏洞可导致攻击者在易受攻击的电脑上执行远程代码。
该漏洞的严重等级为高危,根据说明,“对子进程和父进程之间以 Prompt: Open IPC 信息传递的参数审查不充分,可导致非沙箱父进程打开由受攻陷子进程选择的 web 内容。当链接使用其它漏洞时,可导致在用户计算机上执行任意代码。”
建议用户立即更新,火狐浏览器的内置更新机制中已提供火狐 67.0.4和火狐 ESR 60.7.2。
评论已关闭。