Si 您是Firefox用户,我告诉您是时候更新浏览器了是或是。 那是最近 在浏览器中发现了零日漏洞 并积极用于有针对性的攻击。
安全漏洞 是通过Google的“零项目”揭露的,并影响了所有版本的Firefox。 但是,好消息是,将从18月67.0.3日开始提供Firefox 60.7.1和Firefox ESR XNUMX版本的修补程序。
此外,Mozilla强烈建议用户进行升级。
关于安全漏洞
在安全公告中, Mozilla工程师给出了一些解释 关于故障的性质。
例如,他们解释说 这是可以通过操纵JavaScript元素激活的漏洞 由于Array.pop方法中的问题(该方法删除了JavaScript数组的最后一个元素)。
另据报错误r从对JavaScript中数据类型的困惑中受益。
“由于Array.pop中存在问题,在处理JavaScript对象时可能会出现混乱漏洞。 这可能导致可利用的事故。 “我们知道利用此漏洞的针对性攻击,”明确含糊的说法说。
除了在Mozilla网站上发布的简短描述之外, 没有关于此安全漏洞或正在进行的攻击的其他详细信息。
在请求其他详细信息之后, 他们提到该漏洞可用于远程代码执行 (RCE),但随后需要从沙箱中进行单独的转义以在底层子系统中运行代码。
他们补充说:“但是,也有可能利用它进行交叉脚本,根据攻击者的目标,这可能就足够了。”
跨站点脚本编制(简称XSS)是一种网站安全漏洞,它允许将内容注入到页面中,从而导致访问该页面的Web浏览器中的操作。
XSS的可能性非常广泛,因为攻击者可以使用浏览器支持的所有语言(JavaScript,Java,Flash等),并且定期发现新的可能性,尤其是随着HTML5等新技术的到来。
例如: 可以重定向到另一个站点进行网络钓鱼,也可以通过检索Cookie来窃取会话。
另一方面,他们还争辩说,目前尚无关于如何在浏览器中使用此零日漏洞的详细信息,Coinbase Security可以了解有关发现的攻击的更多信息。
“我不知道与积极利用有关的部分。 我在15月XNUMX日发现并报告了该错误,“一位Google安全研究人员说。
但是,有些人可能会说,根据报告安全漏洞的另一个实体(Coinbase Security),我们可以假设此安全漏洞是在对加密货币所有者的攻击期间利用的。
如何在Linux上更新Firefox浏览器?
为了更新到该浏览器的新修正版本,甚至在没有浏览器的情况下进行安装,您可以按照下面共享的说明进行操作。
Ubuntu,Linux Mint或Ubuntu其他衍生产品的用户, 他们可以借助浏览器的PPA安装或更新到此新版本。
可以通过打开终端并在其中执行以下命令将其添加到系统中:
sudo add-apt-repository ppa:ubuntu-mozilla-security/ppa -y && sudo apt-get update
现在要做的就是安装:
sudo apt install firefox
如果是 Arch Linux用户及其衍生产品,只需在终端中运行:
sudo pacman -Syu
或安装:
sudo pacman -S firefox
至 所有其他Linux发行版都可以下载二进制软件包 从 以下链接。
将浏览器更新到最新版本的另一种方法是打开浏览器,然后单击菜单栏中的问号。
在这里,我们将选择“关于Firefox”,新版本的下载和安装将自动开始。
Firefox的已发布修复程序为67.0.3和60.7.1,其中修复了严重漏洞(CVE-2019-11707)。