首页 > 清静研究 > 清静转达 > 清静通告

Firefox清静误差危害通告

宣布时间 2020-01-10

误差编号和级别

CVE编号：CVE-2019-17026，危险级别：高危，CVSS分值：官方未评定

影响版本

Firefox 72.0.1和Firefox ESR 68.4.1之前版本

误差概述

Mozilla Firefox和Mozilla Firefox ESR都是美国Mozilla基金会的产品。Mozilla Firefox是一款开源Web浏览器。Mozilla Firefox ESR是Firefox(Web浏览器)的一个延伸支持版本。

Mozilla宣布了Firefox 72.0.1和Firefox ESR 68.4.1，修复已在野外被起劲使用的误差（CVE-2019-17026）。该误差是用于Mozilla的JavaScript引擎SpiderMonkey的JavaScript实时（JIT）编译器IonMonkey中的一个类型混淆误差。凭证Mozilla的建议，JIT编译器中保存缺陷，由于“设置数组元素的又名信息不准确”，特殊是在StureEnthPople和FaliLabSturEngEnter中。潜在攻击者可通过将用户重定向至恶意网页来触发该误差，导致代码执行或触发瓦解。美国CISA也发出忠言称攻击者可能使用此误差来控制受影响的系统，并建议用户审查Mozilla清静转达和应用清静更新。

误差验证

暂无POC/EXP。

修复建议

Mozilla已宣布了Firefox 72.0.1和Firefox ESR 68.4.1。由于此误差已在目的攻击中被使用，建议Firefox用户尽快升级：https://www.mozilla.org/en-US/security/advisories/mfsa2020-03/。

参考链接

https://www.bleepingcomputer.com/news/security/mozilla-firefox-7201-patches-actively-exploited-zero-day/

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究

Firefox清静误差危害通告

关于尊龙凯时

解决计划

清静研究

联系尊龙凯时

7*24小时服务热线