Firefox爆远端程式码执行重大漏洞

Mozilla周三发出安全公告揭露Firefox 56到58版存在一个能让未经验证的远端攻击者在受害系统上执行程式码的漏洞。Mozilla已经释出更新版Firefox解决问题。 

这项编号为CVE-2018-5124的漏洞是由Mozilla研究人员Johann Hofmann通报，它存在于Firefox浏览器中一个名为“Chrome”的UI元件，后者包含浏览器功能列、状态列、视窗名称列、工具列或由插件建立的其他UI元件。 

Chrome元件不会与网页程式码切开，因此针对UI设计的恶意程式码也能在浏览器上执行。根据思科的安全公告，由于Firefox对chrome文件中的HTML片段的消毒（sanitization）不足，使外部恶意指令得以从chrome UI进入浏览器及电脑上执行。 

利用这项漏洞，攻击者可以将程式码诱使用户点选URL或开启档案以发动攻击。成功的攻击可让骇客以使用者权限执行程式码，如果该用户具有管理员权限，则骇客就能取得系统层权限执行任何指令。由于程式码可以藏在iFrame，在神不知鬼不觉情况下下载到电脑中，Mozilla将本漏洞的风险指数列为重大（critical）。 

该项漏洞影响版本包括Firefox 56.x、57.x 到58.0.0。Firefox for Android 及Firefox 52 ESR则不受影响。Mozilla已经释出漏洞修补完成的更新版Firefox 58.0.1，呼吁用户尽速安装。思科则提醒用户不要随意开启来路不明的网页链接或档案。