Firefox出现大漏洞 黑客恐取得系统层权限执行任何指令

Mozilla发出安全公告揭露Firefox56到58版存在一个能让未经验证的远程攻击者在受害系统上执行程序代码的漏洞。Mozilla已经释出更新版Firefox解决问题。

Firefox出现大漏洞 黑客恐取得系统层权限执行任何指令

文章出自:SBF999胜博发娱乐时代 http://www.iselex.com/

这项编号为CVE-2018-5124的漏洞是由Mozilla研究人员Johann Hofmann通报,它存在于Firefox浏览器中一个名为「Chrome」的UI组件,后者包含浏览器功能列、状态栏、窗口名称列、工具栏或由插件建立的其他UI组件。

Chrome组件不会与网页程序代码切开,因此针对UI设计的恶意代码也能在浏览器上执行。根据思科的安全公告,由于Firefox对chrome文件中的HTML片段的消毒(sanitization)不足,使外部恶意指令得以从chrome UI进入浏览器及电脑上执行。

利用这项漏洞,攻击者可以将程序代码诱使用户点选URL或开启档案以发动攻击。成功的攻击可让黑客以用户权力执行程序代码,如果该用户具有管理员权限,则黑客就能取得系统层权限执行任何指令。由于程序代码可以藏在iFrame,在神不知鬼不觉情况下下载到电脑中,Mozilla将本漏洞的风险指数列为重大。

该项漏洞影响版本包括Firefox 56.x、57.x 到58.0.0。Firefox for Android 及Firefox 52 ESR则不受影响。Mozilla已经释出漏洞修补完成的更新版Firefox 58.0.1,呼吁用户尽速安装。思科则提醒用户不要随意开启来路不明的网页连结或档案。