第2个0day! 火狐再次火速发布新版本,修复已遭利用的第2个 0day
字数 1360 2025-08-18 11:38:45

火狐浏览器0day漏洞分析与安全防护指南

漏洞概述

2019年6月,火狐浏览器在短时间内连续发现并修复了两个已被利用的0day漏洞:

  1. CVE-2019-11707:类型混淆漏洞(严重级别)
  2. CVE-2019-11708:沙箱逃逸漏洞(高危级别)

这两个漏洞被组合使用,可导致远程代码执行(RCE)攻击,主要针对加密货币公司员工。

漏洞技术细节

CVE-2019-11707 - 类型混淆漏洞

  • 漏洞类型:Array.pop操作中的类型混淆问题
  • 影响:当操纵JavaScript对象时会产生类型混淆,导致可利用的崩溃情况
  • 发现者:谷歌Project Zero团队的Groß
  • 提交日期:2019年4月15日
  • 利用条件:需要与沙箱逃逸漏洞结合使用才能影响主机操作系统

CVE-2019-11708 - 沙箱逃逸漏洞

  • 漏洞类型:对Prompt: Open IPC消息传递参数审查不充分
  • 影响:允许非沙箱父进程打开由受攻陷子进程选择的web内容
  • 利用方式:与CVE-2019-11707结合使用可在用户计算机上执行任意代码

攻击活动分析

攻击目标

  • 主要针对Coinbase等加密货币公司的员工
  • 目的可能是访问企业信息、存储的加密货币资金或企业网络

攻击链

  1. 初始访问:通过钓鱼邮件诱导受害者点击链接
  2. 漏洞利用
    • 受害者使用火狐浏览器访问恶意URL
    • 利用两个0day漏洞组合攻击
  3. Payload投放
    • macOS系统:投放名为Finder.app的Netwire RAT
    • Windows系统:投放信息窃取器和powercat反向shell

攻击指标(IOCs)

macOS Payload哈希(SHA1)

b639bca429778d24bda4f4a40c1bbc64de46fa79
23017a55b3d25a2597b7148214fd8fb2372591a5

C2服务器地址

89.34.111.113:443
185.49.69.210:80

相关字符串

hyd7u5jdi8

防护措施

即时行动

  1. 立即更新火狐浏览器至以下版本:

    • 常规版本:67.0.4
    • ESR版本:60.7.2

  2. 检查系统是否有以下可疑活动:

    • 异常进程(如Finder.app)
    • 与已知C2服务器的连接

长期防护策略

  1. 浏览器安全

    • 启用自动更新功能
    • 考虑使用沙盒环境浏览高风险网站

  2. 终端防护

    • 部署EDR解决方案监控异常行为
    • 定期扫描系统查找恶意软件

  3. 安全意识培训

    • 教育员工识别钓鱼邮件
    • 建立安全的上网行为规范

技术分析补充

攻击手法演变

攻击者表现出以下特点:

  • 持续收集和利用0day漏洞
  • 跨平台攻击能力(macOS和Windows)
  • 使用多种后门工具(Netwire RAT、信息窃取器等)
  • C2基础设施复用(与WinRAR ACE漏洞攻击活动关联)

关联攻击活动

  • 与利用WinRAR ACE漏洞(CVE-2018-20250)的攻击活动共享C2基础设施
  • 使用类似的Netwire RAT payload
  • 攻击手法与针对金融行业的APT组织相似

参考资源

  1. 火狐浏览器安全公告
  2. Coinbase安全团队披露
  3. VirusTotal恶意软件分析
  4. 相关推特讨论:https://twitter.com/VK_Intel/status/1141540229951709184

总结

此次事件凸显了0day漏洞组合使用的危险性,特别是当浏览器漏洞与沙箱逃逸漏洞结合时,可造成严重的远程代码执行风险。所有火狐浏览器用户应立即更新至最新版本,安全团队应监控相关IOCs并加强终端防护。

火狐浏览器0day漏洞分析与安全防护指南 漏洞概述 2019年6月,火狐浏览器在短时间内连续发现并修复了两个已被利用的0day漏洞: CVE-2019-11707 :类型混淆漏洞(严重级别) CVE-2019-11708 :沙箱逃逸漏洞(高危级别) 这两个漏洞被组合使用,可导致远程代码执行(RCE)攻击,主要针对加密货币公司员工。 漏洞技术细节 CVE-2019-11707 - 类型混淆漏洞 漏洞类型 :Array.pop操作中的类型混淆问题 影响 :当操纵JavaScript对象时会产生类型混淆,导致可利用的崩溃情况 发现者 :谷歌Project Zero团队的Groß 提交日期 :2019年4月15日 利用条件 :需要与沙箱逃逸漏洞结合使用才能影响主机操作系统 CVE-2019-11708 - 沙箱逃逸漏洞 漏洞类型 :对Prompt: Open IPC消息传递参数审查不充分 影响 :允许非沙箱父进程打开由受攻陷子进程选择的web内容 利用方式 :与CVE-2019-11707结合使用可在用户计算机上执行任意代码 攻击活动分析 攻击目标 主要针对Coinbase等加密货币公司的员工 目的可能是访问企业信息、存储的加密货币资金或企业网络 攻击链 初始访问 :通过钓鱼邮件诱导受害者点击链接 漏洞利用 : 受害者使用火狐浏览器访问恶意URL 利用两个0day漏洞组合攻击 Payload投放 : macOS系统:投放名为Finder.app的Netwire RAT Windows系统:投放信息窃取器和powercat反向shell 攻击指标(IOCs) macOS Payload哈希(SHA1) C2服务器地址 相关字符串 防护措施 即时行动 立即更新火狐浏览器 至以下版本: 常规版本:67.0.4 ESR版本:60.7.2 检查系统 是否有以下可疑活动: 异常进程(如Finder.app) 与已知C2服务器的连接 长期防护策略 浏览器安全 : 启用自动更新功能 考虑使用沙盒环境浏览高风险网站 终端防护 : 部署EDR解决方案监控异常行为 定期扫描系统查找恶意软件 安全意识培训 : 教育员工识别钓鱼邮件 建立安全的上网行为规范 技术分析补充 攻击手法演变 攻击者表现出以下特点: 持续收集和利用0day漏洞 跨平台攻击能力(macOS和Windows) 使用多种后门工具(Netwire RAT、信息窃取器等) C2基础设施复用(与WinRAR ACE漏洞攻击活动关联) 关联攻击活动 与利用WinRAR ACE漏洞(CVE-2018-20250)的攻击活动共享C2基础设施 使用类似的Netwire RAT payload 攻击手法与针对金融行业的APT组织相似 参考资源 火狐浏览器安全公告 Coinbase安全团队披露 VirusTotal恶意软件分析 相关推特讨论:https://twitter.com/VK_ Intel/status/1141540229951709184 总结 此次事件凸显了0day漏洞组合使用的危险性,特别是当浏览器漏洞与沙箱逃逸漏洞结合时,可造成严重的远程代码执行风险。所有火狐浏览器用户应立即更新至最新版本,安全团队应监控相关IOCs并加强终端防护。