據外媒報導謀智基金會日前已經修復安卓版火狐瀏覽器的某個漏洞，攻擊者利用漏洞可以劫持用戶使用的瀏覽器。研究人員稱如果成功利用漏洞甚至可劫持局域網內所有安卓版火狐瀏覽器，並迫使用戶打開惡意網站和釣魚網站。研究人員將漏洞通報給謀智基金會後也得到確認，隨後這家開發商迅速修復漏洞並提交到應用商店等待用戶更新。SSDP組件中的漏洞：

漏洞位於安卓版火狐瀏覽器使用的SSDP組件，SSDP是簡單服務發現協議，協議可用來在局域網內查找特定設備。

安卓版火狐瀏覽器利用該協議在局域網內查找其他設備以便進行內容共享或接收，例如把視頻共享到機頂盒上等。

查找到設備後瀏覽器組件會自動獲取該設備配置存儲位置，而在舊版火狐瀏覽器中使用的發現協議存在特定漏洞。

攻擊者藉助漏洞可以通過腳本發送格式錯誤的數據包，從而讓火狐瀏覽器將其當做常規命令來執行並操作任務等。

可被武器化的安全漏洞：

儘管聽起來這個漏洞好像不怎麼嚴重，但實際上攻擊者可以將漏洞武器化，並在多種特定場景中發起大規模攻擊。

例如在機場或火車站裡提供公共無線網絡，攻擊者只要接入這個無線網絡即可發送數據包來操縱所有火狐瀏覽器。

攻擊者也可以選擇對某些路由器下手，通過其他漏洞控制路由器後可以藉助火狐漏洞在公司內網發送垃圾數據包。

迫使使用安卓版火狐瀏覽器的員工自動打開釣魚身份驗證界面，然後誘導員工在身份驗證界面輸入自己賬號密碼。

上述兩種場景都可以發起大規模攻擊，攻擊者可以非常輕易的向用戶發送廣告和垃圾信息甚至打開釣魚網站等等。

官方提醒趕緊升級最新版：

謀智基金會在修復漏洞後向所有用戶發出警告要升級到最新版，該漏洞僅影響火狐安卓版不影響火狐的桌面版本。

國內使用火狐瀏覽器安卓版的用戶可能較少因此應該不會形成廣泛攻擊，而在國外火狐安卓版的用戶還是不少的。

研究人員已經發布概念驗證視頻來利用這枚漏洞，在火狐修復漏洞後有些黑客可能會通過代碼更改找到這枚漏洞。

所以使用火狐安卓版的用戶也應該盡快升級到最新版防止遭到劫持，研究人員的概念驗證視頻可以點擊這裡查看。