最近，火狐浏览器推出了67.0.3和ESR 60.7.1两个版本，紧急修补了一个新发现的漏洞。这漏洞相当严重，火狐浏览器以安全著称，却出现了这种0day漏洞，真是罕见又危险。

漏洞的发现

CVE-2019-11707是火狐浏览器的一个漏洞编号，Zero安全研究团队的Groß和其他团队一起发现了它并上报了。这个漏洞被评定为“严重”级别。这可不是闹着玩的，是经过专业团队仔细检查后得出的结论，漏洞确实存在很大风险。自2016年12月以来，火狐浏览器再次遭遇了0day漏洞的修复，从这个角度看，这个漏洞的严重性不容忽视。

漏洞成因

因为这个漏洞是出在Array的pop方法上，操作对象时可能会遇到类型不匹配的问题。这种技术上的失误，尤其在程序复杂交互时更容易出现。现在互联网环境这么复杂，如果这个跟代码运算有关的漏洞被恶意利用，后果真的很难想象。

漏洞危害

这个漏洞要是被利用了，后果简直不堪设想。黑客能通过它来操控代码，骗用户点击那些链接，甚至还能把坏东西装到用户的电脑里。现在已经有不法分子开始用这个漏洞来攻击了。虽然还没人公开分享攻击代码，但很可能很快就会有人用它来发动大规模攻击。这就像是个定时炸弹，随时都可能给用户带来大麻烦。

受影响版本

火狐浏览器除最新版外，其他所有版本都存在远程代码执行漏洞。比如，所有低于67.0.3的版本火狐32位浏览器，还有低于ESR 60.7.1的版本，无论哪个平台都一样。要是没开自动更新或者在内网里用，这个问题就更大了。全球很多用户都受影响，中国就有成千上万的用户。

ESR版本特点

ESR是火狐浏览器的一个特殊版本，支持期有整整一年。跟普通火狐比，它每六周只做安全更新和稳定性修复，不新增功能也不提升性能。等到一年支持期结束，它对那些更看重稳定性的用户来说，可是个不错的选择。

更新建议

火狐安全组呼吁大家赶紧更新到最新版，不管是67.0.3还是ESR 60.7.1，不管是64位、32位还是macOS、Linux，都有相应的更新。现在这个漏洞有可能被大规模利用，所以赶紧升级是保护自己安全最靠谱的办法。

火狐浏览器出了个大问题火狐32位浏览器，严重漏洞。用浏览器的时候，你们注意没注意更新？还没更新的赶紧升级，顺便点个赞，转发一下，也欢迎在评论区聊聊你们的看法。