被用來攻擊虛擬貨幣平台漏洞，Firefox 罕見緊急更新瀏覽器

通常短短時間之內就發布小改版本號不大是太好的事情，意味可能修補影響範圍大的漏洞。Firefox 推出新的警急修補版本 67.0.3，因應新發現的零時差漏洞，呼喻用戶儘可能更新瀏覽器，免得遭到駭客侵入。

這次編號 CVE-2019-11707 的零時差漏洞，由 Google Project Zero 資安團隊資安專家 Samuel Groß，以及 Coinbase 資安團隊共同發現。而在 Mozilla 自身發布的訊息敘述很短，只說被人利用可能引發程式 crash。

▲ Mozilla 呼籲 Firefox 瀏覽器使用者儘速升級至最新 67.0.3 版本。(Source：科技新報截圖)

發現者之一的 Groß 說他在 4 月 15 日時回報發現的漏洞，Mozilla 在上週修補完畢，並且馬上在下次更新上線，一般來說會等到較大的改版才會上。

The bug can be exploited for RCE but would then need a separate sandbox escape. However, most likely it can also be exploited for UXSS which might be enough depending on the attacker’s goals. Looking forward to more details from @mozsec and @coinbase

— Samuel Groß (@5aelo) June 19, 2019

Coinbase 的資安團隊成員則透露更多細節，Coinbase 資安工程師
Philip Martin 說他們發現駭客試圖運用 CVE-2019-11707 的零時差漏洞攻擊 Coinbase，試圖取得 Coinbase 員工的帳號。Coinbase 完整重現整個攻擊流程，並回報給 Mozilla，Coinbase 也徵求情資，希望能逮到攻擊者。

1/ A little more context on the Firefox 0-day reports. On Monday, Coinbase detected & blocked an attempt by an attacker to leverage the reported 0-day, along with a separate 0-day firefox sandbox escape, to target Coinbase employees.

— Philip Martin (@SecurityGuyPhil) June 19, 2019

攻擊瀏覽器的漏洞在這年代看來不稀奇，但如果背後是希望攻擊虛擬貨幣平台，那駭客就有足夠的金錢動機，動手運用所有知道的漏洞。目前還不知道 CVE-2019-11707 漏洞何時出現在 Firefox，Mozilla 呼籥 Firefox 使用者要儘快更新瀏覽器，防止漏洞繼續被其他懷有惡意的人運用。

(首圖來源：shutterstock)

科技新知，時時更新

科技新報粉絲團訂閱免費電子報

被用來攻擊虛擬貨幣平台漏洞，Firefox 罕見緊急更新瀏覽器

產業數位轉型幕後推手-資策會

2019 第十八屆有庠科技獎開放各獎項甄選

科技新知 時時更新

免費訂閱電子報

科技新知時時更新