이 취약점은 현재 패치되었지만, 현실에서는 여전히 악용되고 있다. 모질라의 설명에 따르면, 기술적으로 “배열 요소를 설정하는 아이온몽키 JIT 컴파일러의 잘못된 별칭(Alias) 정보가 타입 혼동을 유발할 수 있다. 이는 공격자가 자바스크립트 코드를 악용해 몰래 사용자의 PC를 해킹해 파이어폭스 외부에 악성코드를 심을 수 있다.” 모질라는 “실제로 이 결함을 악용한 타깃 공격이 일어나고 있다”고 밝혔다. 하지만 이런 공격이 얼마나 광범위하게 퍼져 있는지 자세한 정보는 공개하지 않았다.
미국 국토안보부는 이런 위험을 경고하면서 사용자들이 필수 업데이트를 적용할 것을 촉구했다. 미 당국은 악성코드와 취약점을 정기적으로 추적하지만, 일반 사용자용 애플리케이션에 대해 이런 수준의 경보를 울리는 경우는 드물다.
이 취약점은 중국 보안 업체 치후 360이 초기 업데이트 출시 이틀 만에 발견했다. 취약점은 파이어폭스 72.0.1과 파이어폭스 ESR(Extended Support Release) 68.4.1에서 패치됐다. 파이어폭스는 실행될 때마다 자동으로 업데이트를 확인하지만, 이 설정을 끈 사용자는 설정 메뉴에서 브라우저를 업데이트해야 한다. editor@itworld.co.kr