Firefox 67.0.4发布Mozilla本周修补了第二个0天漏洞

本周早些时候，Mozilla修补了Firefox 67.0.3中一个严重的、被积极利用的漏洞。现在，Mozilla警告数百万用户，有第二个零日漏洞被发现是攻击者在野外利用的。

新修补的问题(CVE-2019-11708)是一个“沙盒逃逸”漏洞，如果与之前修补过的“类型混淆”漏洞链接在一起(CVE-2019-11707)，远程攻击者只需说服受害者访问恶意网站，即可在受害者的计算机上执行任意代码。

浏览器沙箱是一种安全机制，它将第三方进程隔离并限制在浏览器中，防止它们损坏计算机操作系统的其他敏感部分。

“对子进程和父进程之间的提示：Open IPC消息传递的参数审查不足，可能会导致非沙盒父进程打开受损子进程选择的web内容，”该建议解释道。

Firefox 0-Days被发现在野外被利用

Mozilla自今年4月谷歌Project Zero研究人员向该公司报告第一个问题以来就已经意识到了这一点，但就在上周，当攻击者开始同时利用这两个漏洞攻击Coinbase平台的员工和其他加密货币公司的用户时，Mozilla才了解到第二个问题和野生攻击。

就在昨天，macOS安全专家帕特里克·沃德尔（Patrick Wardle）还发布了一份报告，显示针对加密货币用户的另一场运动也在使用相同的Firefox 0-days在目标计算机上安装macOS恶意软件。

目前尚不清楚攻击者是否在第一个漏洞已经报告给Mozilla或通过另一种方式获得机密漏洞报告信息时及时发现了该漏洞。

安装Firefox补丁以防止网络攻击

无论如何，该公司现在已经发布了Firefox版本67.0.4和Firefox ESR 60.7.2，解决了这两个问题，防止攻击者远程控制您的系统。

尽管Firefox会自动安装最新的可用更新，但仍建议用户确保运行的是Firefox 67.0.4或更高版本。

除此之外，就像上一期的补丁一样，预计Tor项目也将很快再次发布新版本的隐私浏览器，以修补第二个漏洞。

Important Update (21/06/2019)，Tor项目在周五还发布了本周隐私网络浏览器的第二次更新（Tor Browser 8.5.3），修补了Firefox昨天修补的第二个漏洞。