Mozilla将本漏洞的风险指数列为重大(critical)。
该项漏洞影响版本包括Firefox 56.x、57.x到58.0.0。Firefox for Android及Firefox 52 ESR则不受影响。Mozilla已经释出漏洞修补完成的更新版Firefox 58.0.1,呼吁用户尽速安装。思科则提醒用户不要随意开启来路不明的网页连结或档案。
漏洞存在于名为Chrome的UI元件,由于该元件不会与网页代码切开,加上Firefox对chrome文件的HTML部份消毒不足,使外部的恶意指令得以从chrome UI进入浏览器、电上。受影响版本包括Firefox 56.x、57.x到58.0.0。
Mozilla周三发出安全公告揭露Firefox 56到58版存在一个能让未经验证的远端攻击者在受害系统上执行代码的漏洞。Mozilla已经释出更新版Firefox解决问题。
这项编号为CVE-2018-5124的漏洞是由Mozilla研究人员Johann Hofmann通报,它存在于Firefox浏览器中一个名为「Chrome」的UI元件,后者包含浏览器功能列、状态列、视窗名称列、工具栏或由外挂程序建立的其他UI元件。
Chrome元件不会与网页代码切开,因此针对UI设计的恶意代码也能在浏览器上执行。根据思科的安全公告,由于Firefox对chrome文件中的HTML片段的消毒(sanitization)不足,使外部恶意指令得以从chrome UI进入浏览器及电脑上执行。
利用这项漏洞,攻击者可以将代码诱使用户点选URL或开启档案以发动攻击。成功的攻击可让黑客以使用者权限执行代码,如果该用户具有管理员权限,则黑客就能取得系统层权限执行任何指令。由于代码可以藏在iFrame,在神不知鬼不觉情况下下载到电脑中,Mozilla将本漏洞的风险指数列为重大(critical)。
该项漏洞影响版本包括Firefox 56.x、57.x到58.0.0。Firefox for Android及Firefox 52 ESR则不受影响。Mozilla已经释出漏洞修补完成的更新版Firefox 58.0.1,呼吁用户尽速安装。思科则提醒用户不要随意开启来路不明的网页连结或档案。
來源:
Firefox爆远端程序码执行重大漏洞
该项漏洞影响版本包括Firefox 56.x、57.x到58.0.0。Firefox for Android及Firefox 52 ESR则不受影响。Mozilla已经释出漏洞修补完成的更新版Firefox 58.0.1,呼吁用户尽速安装。思科则提醒用户不要随意开启来路不明的网页连结或档案。
漏洞存在于名为Chrome的UI元件,由于该元件不会与网页代码切开,加上Firefox对chrome文件的HTML部份消毒不足,使外部的恶意指令得以从chrome UI进入浏览器、电上。受影响版本包括Firefox 56.x、57.x到58.0.0。
Mozilla周三发出安全公告揭露Firefox 56到58版存在一个能让未经验证的远端攻击者在受害系统上执行代码的漏洞。Mozilla已经释出更新版Firefox解决问题。
这项编号为CVE-2018-5124的漏洞是由Mozilla研究人员Johann Hofmann通报,它存在于Firefox浏览器中一个名为「Chrome」的UI元件,后者包含浏览器功能列、状态列、视窗名称列、工具栏或由外挂程序建立的其他UI元件。
Chrome元件不会与网页代码切开,因此针对UI设计的恶意代码也能在浏览器上执行。根据思科的安全公告,由于Firefox对chrome文件中的HTML片段的消毒(sanitization)不足,使外部恶意指令得以从chrome UI进入浏览器及电脑上执行。
利用这项漏洞,攻击者可以将代码诱使用户点选URL或开启档案以发动攻击。成功的攻击可让黑客以使用者权限执行代码,如果该用户具有管理员权限,则黑客就能取得系统层权限执行任何指令。由于代码可以藏在iFrame,在神不知鬼不觉情况下下载到电脑中,Mozilla将本漏洞的风险指数列为重大(critical)。
该项漏洞影响版本包括Firefox 56.x、57.x到58.0.0。Firefox for Android及Firefox 52 ESR则不受影响。Mozilla已经释出漏洞修补完成的更新版Firefox 58.0.1,呼吁用户尽速安装。思科则提醒用户不要随意开启来路不明的网页连结或档案。
來源:
Firefox爆远端程序码执行重大漏洞
