火狐浏览器用户界面中存在 RCE 漏洞,建议立即更新
翻译:360代码卫士团队
Mozilla 发布Firefox 58.0.1 修复隐藏在浏览器用户界面代码中的一个漏洞。该漏洞可导致攻击者在用户电脑上运行代码,从而快速轻松地传播恶意软件甚至是接管整台计算机。
这个缺陷的编号是 CVE-2018-5124,是由位于柏林的 Mozilla 工程师 Johann Hofmann发现的。这名工程师表示该问题存在于火狐“chrome”组件中。
这个有着令人困惑的名称的组件甚至在谷歌推出 Chrome 浏览器之前就已经存在于火狐浏览器中,为“位于窗口内容区域之外的应用窗口的用户界面元素”服务。
火狐“chrome”组件包括目录栏、进度条、窗口标题栏、工具栏或由附加组件创建的用户界面元素。
这些组件并未和运行在网页中的代码分离。Hoffman 表示恶意网站能够运行火狐用户界面元素的代码。
攻击者能够将未清洁的 HTML 隐藏在从火狐 Chrome 用户界面组件中剥离执行链的代码中,并在底层浏览器/计算机中运行命令。
该代码以当前用户权限身份运行。如果用户使用的是管理员账户,那么代码能运行系统级别的命令。
由于执行链依靠运行不受信任的代码,该漏洞非常危险,因为这个代码可被隐藏在一个内嵌框架中,在用户不知情的情况下离屏加载。该缺陷的 CVSS 评分为8.8分。
利用工具包的操作人员肯定会在接下来的几天内把 CVE-2018-5124 添加到武器库中,因为这种方法能快速轻松地把恶意软件秘密地安装在用户的计算机中。
强烈建议用户立即更新。受影响的版本包括 Firefox 56.x、57.x 和 58.0.0。安卓版本的火狐浏览器和Firefox 52 ESR 不受影响。Mozilla 清洁了由 chrome UI 组件执行的代码修复了这个缺陷。
关联阅读
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。
原文链接:
https://www.bleepingcomputer.com/news/security/mozilla-fixes-severe-flaw-in-firefox-ui-that-leads-to-remote-code-execution/