被用來攻擊虛擬貨幣平台漏洞,Firefox 罕見緊急更新瀏覽器

作者 | 發布日期 2019 年 06 月 20 日 12:37 | 分類 資訊安全 follow us in feedly


通常短短時間之內就發布小改版本號不大是太好的事情,意味可能修補影響範圍大的漏洞。Firefox 推出新的警急修補版本 67.0.3,因應新發現的零時差漏洞,呼喻用戶儘可能更新瀏覽器,免得遭到駭客侵入。

這次編號 CVE-2019-11707 的零時差漏洞,由 Google Project Zero 資安團隊資安專家 Samuel Groß,以及 Coinbase 資安團隊共同發現。而在 Mozilla 自身發布的訊息敘述很短,只說被人利用可能引發程式 crash。

▲ Mozilla 呼籲  Firefox 瀏覽器使用者儘速升級至最新 67.0.3 版本。(Source:科技新報截圖)

發現者之一的 Groß 說他在 4 月 15 日時回報發現的漏洞,Mozilla 在上週修補完畢,並且馬上在下次更新上線,一般來說會等到較大的改版才會上。

Coinbase 的資安團隊成員則透露更多細節,Coinbase 資安工程師
Philip Martin 說他們發現駭客試圖運用 CVE-2019-11707 的零時差漏洞攻擊 Coinbase,試圖取得 Coinbase 員工的帳號。Coinbase 完整重現整個攻擊流程,並回報給 Mozilla,Coinbase 也徵求情資,希望能逮到攻擊者。

攻擊瀏覽器的漏洞在這年代看來不稀奇,但如果背後是希望攻擊虛擬貨幣平台,那駭客就有足夠的金錢動機,動手運用所有知道的漏洞。目前還不知道 CVE-2019-11707 漏洞何時出現在 Firefox,Mozilla 呼籥 Firefox 使用者要儘快更新瀏覽器,防止漏洞繼續被其他懷有惡意的人運用。

(首圖來源:shutterstock)