Firefox本周再傳零時差攻擊漏洞，可能鎖定加密貨幣用戶

Firefox又要升級了！本周內，Mozilla第二度發布Firefox零時差漏洞公告，呼籲用戶升級到最新版本。而一周接連二起來自Coinbase通報的漏洞，顯示黑客可能鎖定加密貨幣用戶。

最新公告編號CVE-2019-11708的漏洞為存在Prompt:Open IPC（Inter-process communication）消息的沙箱逃逸（sandbox escape）漏洞。由於參數檢查不足，致非沙箱內的父行程打開了由子行程選取的網頁內容，黑客只要篡改子行程即可發動攻擊。若結合Mozilla本周修補的CVE-2019-11707類型混淆（Type confusion）漏洞，可使其在用戶計算機上執行任意程序代碼，因而再度被列為重大（critical）風險。

本周二個漏洞都是由加密貨幣交易平台Coinbase的安全部門通報，顯示黑客正在對加密貨幣用戶發動攻擊。

如果你這兩天才因漏洞升級Firefox 67.0.3及ESR 60.7.1，Mozilla希望你再多動一次手，升級到Firefox 67.0.4及Firefox ESR 60.7.2版。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！