Firefox的更新版本带有CVE-2019-17026漏洞补丁

Mozilla Firefox的新更新已经推出，其中包含一个零日漏洞的修补程序，该漏洞被标记为CVE-2019-17026，该漏洞在野外被积极利用。该漏洞使利用浏览器的攻击者可以完全控制受感染的系统。

这是美国国土安全部网络安全和基础设施安全局（CISA）发布的通知：

“ Mozilla已发布安全更新，以解决Firefox和Firefox ESR中的漏洞。攻击者可能利用此漏洞来控制受影响的系统。该漏洞是在野外漏洞中检测到的。”

这实际上说明了漏洞的严重程度。 1月8日发布了带有此漏洞修复程序的Firefox更新，紧随其后的1月7日另一个主要更新版本72修复了11个安全漏洞。所有Firefox用户都应立即使用最新更新为浏览器打补丁，对于Firefox和Linux ESR，此更新为72.0.1。

漏洞发生的位置

Mozilla Firefox是继Google Chrome之后非常流行的第二大使用浏览器。最新统计数据显示，该公司正在该业务中占据9.54％的市场份额。这可能就是为什么要真诚地关注更新并且政府机构建议用户安装带有零日漏洞的补丁的Firefox最新更新的原因。

中国安全公司奇虎360发现了Firefox浏览器的CVE-2019-17026漏洞。没有公开发布威胁情报公司的发现，也没有向试图与该公司联系的人员透露任何细节。众所周知，当程序分配或初始化使用的资源与最初使用的资源找不到任何匹配项时，就会发生此漏洞。换句话说，可以使用一些远程代码执行来访问程序。

正如Mozilla的通报中所述，目前唯一已知的是：

“ IonMonkey JIT编译器中用于设置数组元素的别名信息不正确，可能导致类型混乱。”

零日漏洞非常危险

程序的零日漏洞是那些尚未被开发人员或信息安全社区的其他成员发现，并被恶意行为者广泛使用的错误。黑客可以利用此类错误并不受限制地利用任何东西。最近，已修复的这两个Firefox漏洞影响了该浏览器的Mac OS版本，并允许黑客创建了后门以进行加密货币交换。