火狐瀏覽器出現嚴重遠程代碼執行漏洞，現已修復

Mozilla發布了Firefox瀏覽器的重要更新，修補了一個嚴重的漏洞，這個漏洞能讓遠程攻擊者在受影響計算機上執行惡意代碼。

這次更新是在Mozilla推出新Firefox Quantum瀏覽器（Firefox 58）之後的一個星期，它具有一些新功能，如改進的圖形引擎和性能優化以及針對30多個漏洞的補丁。

根據思科發布的安全建議，Firefox 58.0.1解決了由於Chrome（瀏覽器UI）中的HTML片段「過濾不充分」而導致的「任意代碼執行」漏洞。

黑客可以利用這個漏洞（CVE-2018-5124）在受害者的計算機上運行任意代碼，只要欺騙他們訪問鏈接或「打開一個文件，向受影響的軟體提交惡意輸入」。

這個建議說：「一個成功的漏洞攻擊會讓黑客利用用戶的許可權執行任意代碼，如果用戶擁有更高的許可權，攻擊者就可以完全破壞系統。

黑客能夠安裝程序，創建具有完整用戶許可權的新帳戶以及查看，更改或刪除數據。

但是如果應用程序許可權比較少，這種情況會對用戶造成較小的影響。

受影響的瀏覽器版本包括Firefox 56（.0，.0.1，.0.2），57（.0，.0.1，.0.2，.0.3，.0.4）和58（.0）。Firefox 58.0.1已經解決了這個漏洞，可以從火狐官方網站下載。

漏洞由Mozilla開發者Johann Hofmann發現的問題，並不影響Android和Firefox 52 ESR的Firefox瀏覽器。

另外，火狐還建議管理員在瀏覽互聯網時使用低許可權帳戶。

* 參考來源：THN，作者Sphinx，轉載註明來自Freebuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！