首页 > 安全钻研 > 安全传递 > 安全公告

Firefox安全缝隙风险公告

颁布功夫 2020-01-10

缝隙编号和级别

CVE编号：CVE-2019-17026，危险级别：高危，CVSS分值：官方未评定

影响版本

Firefox 72.0.1和Firefox ESR 68.4.1之前版本

缝隙概述

Mozilla Firefox和Mozilla Firefox ESR都是美国Mozilla基金会的产品。Mozilla Firefox是一款开源Web浏览器。Mozilla Firefox ESR是Firefox(Web浏览器)的一个耽搁支持版本。

Mozilla颁布了Firefox 72.0.1和Firefox ESR 68.4.1，建复已在野表被积极利用的缝隙（CVE-2019-17026）。该缝隙是用于Mozilla的JavaScript引擎SpiderMonkey的JavaScript实时（JIT）编译器IonMonkey中的一个类型混合缝隙。凭据Mozilla的建议，JIT编译器中存在缺点，由于“设置数组元素的别号信息不正确”，出格是在StureEnthPople和FaliLabSturEngEnter中。潜在攻击者可通过将用户沉定向至恶意网页来触发该缝隙，导致代码执行或触发崩溃。美国CISA也发出忠告称攻击者可能利用此缝隙来节造受影响的系统，并建议用户查看Mozilla安全传递和利用安全更新。

缝隙验证

暂无POC/EXP。

建复建议

Mozilla已颁布了Firefox 72.0.1和Firefox ESR 68.4.1。由于此缝隙已在指标攻击中被利用，建议Firefox用户尽快升级：https://www.mozilla.org/en-US/security/advisories/mfsa2020-03/。

参考链接

https://www.bleepingcomputer.com/news/security/mozilla-firefox-7201-patches-actively-exploited-zero-day/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

宝运莱官方网站

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系宝运莱官方网站

安全钻研

Firefox安全缝隙风险公告

关于宝运莱官方网站

解决规划

安全钻研

联系宝运莱官方网站

7*24幼时服务热线