昨天,Mozilla 发布了 Firefox 浏览器的补丁,修复了零日漏洞。 据网络消息称,该漏洞已被攻击者积极利用,但 Mozilla 代表尚未对此信息发表评论。
已知该漏洞会影响 SpiderMonkey 的 IonMonkey JavaScript JIT 编译器,SpiderMonkey 是处理 JavaScript 操作的 Firefox 核心组件之一。 专家将该问题归类为类型混淆漏洞,即写入内存的信息最初被识别为一种数据类型,但后来由于某些操作而切换为另一种类型。 利用该漏洞,攻击者可以在被攻击系统上远程执行任意代码。
根据现有数据,该漏洞是由中国奇虎360公司的专家发现的。该公司的代表表示,他们了解多起攻击者实际利用该漏洞的案例。 值得一提的是,近日,奇虎360 Twitter账户上出现一条消息称,该公司在Internet Explorer浏览器中发现了一个被积极利用的零日漏洞。 不过,这条消息后来被删除了。
至于该漏洞,已在浏览器版本 Firefox 72.0.1 和 Firefox ESR 68.4.1 中修复。 建议 Mozilla 浏览器用户将浏览器更新到最新版本,以避免成为网络犯罪分子的受害者。
来源: 3dnews.ru