Mozilla 发布了 Firefox 58.0.1 以解决隐藏在浏览器 UI 代码中的安全问题,该问题会允许攻击者在用户的计算机上运行代码,从而迅速地传播恶意软件,甚至接管整台 PC。
在 CVE-2018-5124 标识下跟踪的这个缺陷是由总部位于柏林的 Mozilla 工程师 Johann Hofmann 发现的。工程师表示,这个问题发生在 Firefox "Chrome" 组件中。
在谷歌推出 Chrome 浏览器之前,这个易混淆的组件已经在 Firefox 中可用,并且负责“窗口内容区域之外的应用程序窗口的用户界面元素集”。
Firefox“chrome” 组件包括菜单栏,进度条,窗口标题栏,工具栏或附加组件创建的 UI 元素等。
主要问题:Firefox 会运行“有害”的 HTML 代码
这些组件不与网页中运行的代码分开。霍夫曼表示,恶意网站可以针对 Firefox UI 元素运行恶意代码。
攻击者可以在这段代码中隐藏“有害(unsanitized)”的 HTML,将执行链从 Firefox chrome UI 组件中分离出来,并在底层浏览器/计算机上运行命令。
更重要的是,代码会以当前用户的权限运行。如果用户正在使用管理员帐户,则该代码可以运行 SYSTEM 级别的命令。
由于执行链依赖于运行不受信任的代码,因此该漏洞非常危险,因为这些代码可能隐藏在 iframe 中,并且在用户不知情的情况下加载屏幕。正因为如此,这个漏洞已经获得了 8.8 分(满分 10 分)的 CVSS 严重性评分。
所以强烈建议用户进行更新。Firefox 56.x, 57.x. 和 58.0.0 均受到影响。Firefox for Android 和 Firefox 52 ESR 不受此缺陷的影响。Mozilla 通过清理由其 chrome UI 组件执行的代码修复了这个缺陷。
