Coinbase：Firefox 漏洞攻擊僅針對員工 用戶無遭遇風險

針對先前 Firefox 瀏覽器爆發「零時差漏洞而被利用來攻擊加密貨幣交易所」事件，其中一家受害交易所 Coinbase 回應稱， 該攻擊實際上是針對其員工，用戶帳號並無遭遇任何風險。

Coinbase 資安工程師 Philip Martin 表示，代號為 CVE-2019-11707 的零時差漏洞是跟 Google Project Zero 資安專家 Samuel Groß 共同所發現，得知駭客運用該漏洞攻擊 Coinbase，試圖取得員工帳號，「若攻擊成功，駭客可獲得 Coinbase 後端網絡的訪問權限，並從交易所竊取資金。」

根據 Martin 的說法，這種攻擊策略過去曾被多次使用，且已導致許多加密貨幣交易所損失巨額資金，但發現的漏洞當下已立即向網絡瀏覽器供應商 Mozilla 回報， Firefox 隨後也推出了新的警急修補版本 67.0.3。

他補充道，「我們拆除了攻擊者所使用的惡意軟體和基礎設施，同時跟多個組織合作摧毀攻擊者的基礎設施，目前正努力揪出涉案的攻擊者。」

資安專家 Groß 則表示，他早在 4 月 15 日就已向 Mozilla 通報此漏洞，但直到近期才被利用於零時差攻擊和沙盒逃逸。他解釋道，該漏洞允許攻擊者在受害者的瀏覽器中即時遠程遙控以執行代碼，但仍需配備一個單獨的沙盒逃逸漏洞，才能在底層操作系統上運行代碼。

Coinbase 最後表示，「目前沒有偵測到針對用戶所發出的攻擊。我們並不是唯一一家受攻擊的加密貨幣組織，團隊正在努力通知其他同業。」

另一方面，Coinbase 也於 6 月 20 日宣布推出一項「實時價格警報」通知功能，旨在提醒手機程式用戶有關加密貨幣市場的價格波動情況，協助客戶做出更明智的投資決策。

圖片來源：

• coinbase: chepicap

這篇文章 Coinbase：Firefox 漏洞攻擊僅針對員工，用戶無遭遇風險 最早出現於 區塊客。

『新聞來源／區塊客 https://blockcast.it/』