两年了火狐仍未修复某 0day，不料又一个新0day出现仨月了

Mozilla 正在修复一个已遭技术支持骗子们的漏洞，当用户访问特殊构造网站时，骗子们就会锁定火狐浏览器。

Malwarebytes 公司的研究员 Jérôme Segura 发现了这些攻击，他表示目前存在两个已知的已遭技术支持骗子们利用的火狐漏洞。用户只需访问犯罪分子创建的网站即可遭攻击。这些站点展示了相关警告信息并指令受害者拨打某个特定的“Windows 支持”电话。

Segura 在两年前就已经将该漏洞告知 Mozilla 公司，其ID 是1438214。当时骗子们还利用一个类似漏洞攻击 Chrome 用户。Segura 发现的这个漏洞可导致攻击者通过利用下载的不必要的 API 冻结浏览器，从而消耗所有的 CPU 资源。

Sergura 最近打算重新访问该 bug，发现仍未修复。他还发现了另外一个也遭技术支持骗子们利用的新漏洞。他指出，“攻击者们故意询问用户获得相同的授权滥用通知消息。”这个漏洞似乎是此前修复的某漏洞的变体。这个漏洞涉及认证弹出消息且已被利用多年。

从Segura创建的关于这个新漏洞的报告来看，Mozilla 至少在三个月前就已经知晓该问题。Mozilla 开发人员将他的报告标记为“duplicate（重复）”但仍未发布补丁。

据悉，补丁将于12月3日推出的Firefox 71 版本中给出。

在补丁推出前，建议遭诈骗的用户从 Windows 的“任务管理器”中强制关闭火狐浏览器或者在 macOS 上使用“强制退出”选项。该漏洞同时影响 Windows 和 macOS 版本的火狐浏览器。