近日,國家信息安全漏洞庫(CNNVD)收到北京長亭科技有限公司(CNNVD 技術支撐單位)關于火狐瀏覽器(Mozilla Firefox)數字錯誤漏洞(CNNVD-201703-910)情況的報送。由于攻擊者可利用該漏洞執行任意代碼,危害程度較高,且該瀏覽器用戶數量眾多,漏洞影響范圍較廣,國家信息安全漏洞庫(CNNVD)對此進行了跟蹤分析,情況如下:
一、漏洞簡介Mozilla Firefox和Firefox ESR是美國Mozilla基金會開發的瀏覽器產品。Firefox是一款開源Web瀏覽器;Firefox ESR是Firefox的一個延長支持版本。
Mozilla Firefox 49.0至52.0版本和Firefox ESR49.0至52.0版本中存在整數溢出漏洞(CNNVD-201703-910,CVE-2017-5428)。該漏洞由于createImageBitmap函數沒有對傳入的整數進行邊界檢查,導致遠程攻擊者可通過構造的惡意頁面利用該漏洞執行任意代碼。
二、漏洞危害1、遠程攻擊者可通過構造的惡意頁面利用該漏洞,誘使用戶點擊惡意鏈接使用火狐瀏覽器加載并執行惡意代碼,從而在用戶主機上執行任意命令。
2、50.0以下版本的火狐瀏覽器未啟用沙箱保護機制,遠程攻擊者僅利用該漏洞即可執行任意代碼。
3、對于50.0及以上版本的火狐瀏覽器,遠程攻擊者需同時利用該漏洞與沙箱繞過漏洞來執行任意代碼。
三、修復措施目前,火狐瀏覽器官方已針對該漏洞發布安全公告。請受影響用戶及時檢查是否受該漏洞影響。
【升級修復】
受影響用戶可升級至Firefox 52.0.1版本和Firefox ESR 52.0.1版本以消除漏洞影響。
官方公告:https://www.mozilla.org/en-US/security/advisories/mfsa2017-08/
【臨時緩解】
如用戶不方便升級,可采取臨時解決方案:
暫時禁用Javascript。
在漏洞未修復前,建議用戶不要點擊不可信鏈接。
本通報由CNNVD技術支撐單位——北京長亭科技有限公司提供支持。
CNNVD將繼續跟蹤上述漏洞的相關情況,及時發布相關信息。如有需要,可與CNNVD聯系。
京公網安備 11010502049343號