通常短短時間之內就發布小改版本號不大是太好的事情,意味可能修補影響範圍大的漏洞。Firefox 推出新的警急修補版本 67.0.3,因應新發現的零時差漏洞,呼喻用戶儘可能更新瀏覽器,免得遭到駭客侵入。
這次編號 CVE-2019-11707 的零時差漏洞,由 Google Project Zero 資安團隊資安專家 Samuel Groß,以及 Coinbase 資安團隊共同發現。而在 Mozilla 自身發布的訊息敘述很短,只說被人利用可能引發程式 crash。
▲ Mozilla 呼籲 Firefox 瀏覽器使用者儘速升級至最新 67.0.3 版本。(Source:科技新報截圖)
發現者之一的 Groß 說他在 4 月 15 日時回報發現的漏洞,Mozilla 在上週修補完畢,並且馬上在下次更新上線,一般來說會等到較大的改版才會上。
The bug can be exploited for RCE but would then need a separate sandbox escape. However, most likely it can also be exploited for UXSS which might be enough depending on the attacker's goals. Looking forward to more details from @mozsec and @coinbase
— Samuel Groß (@5aelo) June 19, 2019
Coinbase 的資安團隊成員則透露更多細節,Coinbase 資安工程師
Philip Martin 說他們發現駭客試圖運用 CVE-2019-11707 的零時差漏洞攻擊 Coinbase,試圖取得 Coinbase 員工的帳號。Coinbase 完整重現整個攻擊流程,並回報給 Mozilla,Coinbase 也徵求情資,希望能逮到攻擊者。
1/ A little more context on the Firefox 0-day reports. On Monday, Coinbase detected & blocked an attempt by an attacker to leverage the reported 0-day, along with a separate 0-day firefox sandbox escape, to target Coinbase employees.
— Philip Martin (@SecurityGuyPhil) June 19, 2019
攻擊瀏覽器的漏洞在這年代看來不稀奇,但如果背後是希望攻擊虛擬貨幣平台,那駭客就有足夠的金錢動機,動手運用所有知道的漏洞。目前還不知道 CVE-2019-11707 漏洞何時出現在 Firefox,Mozilla 呼籥 Firefox 使用者要儘快更新瀏覽器,防止漏洞繼續被其他懷有惡意的人運用。
(首圖來源:shutterstock)
