来自 资讯 2021-10-12 21:08 的文章

ddos高防_服务器高防服务_零元试用

ddos高防_服务器高防服务_零元试用

安全研究人员发现了Mozilla Firefox中用于目标攻击的两个零日漏洞。编者按:本博客于6月20日更新,以反映与CVE-2019-11707结合使用的第二个漏洞的附加信息,以及Mozilla的安全更新背景6月18日和6月20日,Mozilla基金会发布了安全警告[1,2],以解决Mozilla Firefox在野外目标攻击中使用的两个零日漏洞。分析根据第一份安全咨询报告,CVE-2019-11707是Mozilla Firefox中的一个类型混淆漏洞,该漏洞可导致可利用的崩溃,原因是数组.pop在操作JavaScript对象时会发生这种情况。在第二个安全公告中,CVE-2019-11708是提示:打开进程间由于参数审查不足而导致的通信(IPC)消息。攻击者可以利用此漏洞,c语言ddos防御,使非沙盒父进程使用精心编制的子进程打开来自受损子进程的web内容提示:打开IPC子进程和父进程之间的消息。结合使用CVE-2019-11708和CVE-2019-11707可能导致任意代码执行。这些漏洞是由googleprojectzero的Samuel Groß和Coinbase安全团队向Mozilla报告的Samuel Groß在6月19日发布的推文中提供了有关该漏洞的更多上下文。格罗ß提到,他没有关于在野外活动的详细信息,他在4月份报告了这种病毒。他指出,虽然远程代码执行(RCE)是可能的,高防tcp防御cdn,但它"需要一个单独的沙盒转义"。最后,他确实提到,该漏洞"也可以用于通用跨站点脚本(UXSS),这可能已经足够了,这取决于攻击者的目标。"这个bug可以被用于RCE,但是需要单独的沙盒转义。然而,最有可能的是,它也可以被用于uxs,cc防御asp代码,这可能已经足够了,ddos防御能力对比,这取决于攻击者的目标。期待@mozsec和@coinbase提供更多详细信息-Samuel Groß(@5aelo)2019年6月19日6月20日,Coinbase首席信息安全官(CISO)菲利普•马丁(Philip Martin)发布了一系列推文,提供了有关目标攻击的更多背景信息。据Martin称,CVE-2019-11707与另一个Firefox零日沙盒逃逸漏洞(CVE-2019-11708)结合使用,目标是Coinbase员工。马丁补充说,Coinbase并不是这次攻击行动中唯一的"加密组织",他的团队已经提供了妥协指标(IOCs)来帮助其他组织1/关于Firefox 0天报告的更多内容。周一,Coinbase检测到并阻止了一名攻击者试图利用报告的0天时间,以及单独的0天火狐沙盒越狱攻击Coinbase员工。-菲利普·马丁(@SecurityGuyPhil)2019年6月19日此外,Digita Security的创始人兼首席研究官Patrick Wardle发表了一篇博客,分析了发给他的macOS恶意软件样本,ddos攻击原理与防御方法,该样本与Philip Martin在其推文中引用的一个恶意文件相匹配。解决方案Mozilla于6月18日发布了Firefox 67.0.3和Firefox扩展支持版本(ESR)60.7.1以解决CVE-2019-11707的问题,并于6月20日发布了Firefox 67.0.4和Firefox ESR 60.7.2,以应对CVE-2019-11708。建议用户尽快升级到Firefox的最新版本。识别受影响的系统在发布这些漏洞时,将在这里显示一个确定这些漏洞的可靠插件列表。获取更多信息Mozilla基金会安全咨询2019-18Mozilla基金会安全咨询2019-19成立社区了解Tenable的更多信息,Tenable是第一个全面管理现代攻击面的网络暴露平台。获得60天免费试用泰纳布尔.io.