Mozilla 发布火狐 67.0.3 和火狐 ESR 60.7.1 版本，修复一个已遭利用的严重漏洞，可导致攻击者在运行易受攻击火狐版本的机器上执行任意代码。

Mozilla 发布安全通告表示，火狐开发人员“意识到在野存在滥用该缺陷的目标攻击”，可导致利用该漏洞的攻击者控制受影响系统。

火狐和火狐 ESR 0day 缺陷是由谷歌 Project Zero 团队的研究员 Samuel Groß和Coinbase 安全团队发现的。

该 0day 漏洞是一个类型混淆漏洞，编号为 CVE-2019-11707，“由于 Array.pop 中存在问题，当操纵 JavaScript 对象”时就会产生。攻击者可欺骗使用未修复火狐浏览器版本的用户访问一个恶意构造的网页且之后在系统上执行任意代码的方式触发该类型混淆漏洞。

美国网络安全和基础设施安全局 (CISA) 也发布警报，建议用户“查看Mozilla 发布的火狐67.0.3 和火狐 ESR 60.7.1 安全通告并应用必要的更新。”

虽然尚未出现和该缺陷相关的其它信息，但根据报告该漏洞的研究人员，我们可以认为该缺陷被用于攻击密币所有人。建议所有用户都通过Mozilla网站链接 (https:// download.mozilla.org) 安装已修复的火狐浏览器版本。