Mozilla發佈了Firefox流覽器的重要更新, 修補了一個嚴重的漏洞, 這個漏洞能讓遠端攻擊者在受影響電腦上執行惡意程式碼。
這次更新是在Mozilla推出新Firefox Quantum流覽器(Firefox 58)之後的一個星期,
根據思科發佈的安全建議, Firefox 58.0.1解決了由於Chrome(流覽器UI)中的HTML片段“過濾不充分”而導致的“任意代碼執行”漏洞。
駭客可以利用這個漏洞(CVE-2018-5124)在受害者的電腦上運行任意代碼, 只要欺騙他們訪問連結或“打開一個檔, 向受影響的軟體提交惡意輸入”。
這個建議說:“一個成功的漏洞攻擊會讓駭客利用用戶的許可權執行任意代碼, 如果用戶擁有更高的許可權, 攻擊者就可以完全破壞系統。
駭客能夠安裝程式, 創建具有完整使用者許可權的新帳戶以及查看, 更改或刪除資料。
但是如果應用程式許可權比較少, 這種情況會對使用者造成較小的影響。
受影響的流覽器版本包括Firefox
56(.0, .0.1, .0.2),
57(.0, .0.1, .0.2, .0.3, .0.4),
58(.0)。
Firefox 58.0.1已經解決了這個漏洞, 可以從火狐官方網站下載。
漏洞由Mozilla開發者Johann Hofmann發現的問題, 並不影響Android和Firefox 52 ESR的Firefox流覽器。
另外, 火狐還建議管理員在流覽互聯網時使用低許可權帳戶。