火狐浏览器修复32个 CVE 漏洞
翻译:360代码卫士团队
Mozilla 旗下的火狐浏览器已修复 30 多个 CVE 漏洞。这款开源浏览器已在普通 (Firefox 58) 和扩展支持 (ESR 52.6) 版本中更新。用户应尽快安装这些更新。
严重漏洞修复情况概览
Firefox 58 的更新中包含对严重内存损坏漏洞(CVE-2018-5089 和 CVE-2018-5090)的修复方案。恶意网页能利用这两个漏洞在浏览器中执行恶意代码,换句话说,即劫持应用甚至是整台计算机。
在这32个CVE漏洞中,其中10个漏洞是使用后释放漏洞,可遭恶意网站利用,从而导致软件崩溃或者成为执行恶意代码和安装恶意软件的垫脚石。
在所修复的漏洞中,最严重的是 CVE-2018-5091,它是一个使用后释放漏洞,出现在用于 WebRTC 连接的 DTMF 程序调节器中。其次是 CVE-2018-5093 和 CVE-2018-5094,它们都是存在于 WebAssembly 中的缓冲溢出漏洞。而 CVE-2018-5095 是存在于 Skia 图形库中的一个缓冲溢出漏洞。
如攻击者成功利用存在于 WebExtensions 中的 CVE-2018-5105,那么网站就能将文件保存在磁盘中并在未通知用户的情况下启动文件。CVE-2018-5107 能导致网页滥用打印功能访问一些本地文件。
修复的其它漏洞包括 CVE-2018-5109,该漏洞可导致页面欺骗音频截取请求的来源;CVE-2018-5117 存在于地址信息显示中,可引发 URL 欺骗攻击。
ESR 52.6 的更新中还包含11个 Firefox 58 更新,包括严重的内存损坏漏洞 (CVE-2018-5089) 和 WebRTC 使用后释放漏洞 (CVE-2018-5091)。
Firefox 58 更新的其它内容
这些安全更新是 Mozilla 发布 Firefox 58 的其中一部分内容。除了修复漏洞外,更新还为桌面用户加快了图形渲染和 JavaScript 性能,如支持安卓版本的稳定的 web 应用并为 iOS 版本提供新菜单栏。
Firefox 58 依托于去年秋季发布的 Firefox 57进行构建。考虑到这是多年来对浏览器进行的最大更新动作,Firefox 57 发布时还推出了Quantum。后者是一款重写的浏览器引擎。旨在提升 Firefox 的市场竞争力。
关联阅读
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。
原文链接:
https://www.theregister.co.uk/2018/01/24/mozilla_firefox_security_updates/