首页 > 安全钻研 > 安全传递 > 安全公告

Firefox安全缝隙风险公告

颁布功夫 2020-01-10

缝隙编号和级别

CVE编号：CVE-2019-17026，危险级别：高危，CVSS分值：官方未评定

影响版本

Firefox 72.0.1和Firefox ESR 68.4.1之前版本

缝隙概述

Mozilla Firefox和Mozilla Firefox ESR都是美国Mozilla基金会的产品。Mozilla Firefox是一款开源Web浏览器。Mozilla Firefox ESR是Firefox(Web浏览器)的一个耽搁支持版本。

Mozilla颁布了Firefox 72.0.1和Firefox ESR 68.4.1，建复已在野表被积极利用的缝隙（CVE-2019-17026）。该缝隙是用于Mozilla的JavaScript引擎SpiderMonkey的JavaScript实时（JIT）编译器IonMonkey中的一个类型混合缝隙。凭据Mozilla的建议，JIT编译器中存在缺点，由于“设置数组元素的别号信息不正确”，出格是在StureEnthPople和FaliLabSturEngEnter中。潜在攻击者可通过将用户沉定向至恶意网页来触发该缝隙，导致代码执行或触发崩溃。美国CISA也发出忠告称攻击者可能利用此缝隙来节造受影响的系统，并建议用户查看Mozilla安全传递和利用安全更新。

缝隙验证

暂无POC/EXP。

建复建议

Mozilla已颁布了Firefox 72.0.1和Firefox ESR 68.4.1。由于此缝隙已在指标攻击中被利用，建议Firefox用户尽快升级：https://www.mozilla.org/en-US/security/advisories/mfsa2020-03/。

参考链接

https://www.bleepingcomputer.com/news/security/mozilla-firefox-7201-patches-actively-exploited-zero-day/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

Firefox安全缝隙风险公告

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线