CNNVD有關火狐瀏覽器(Mozilla Firefox)漏洞情況的通報

責任編輯:editor007

作者:aqniu

2017-03-24 20:46:19

摘自:安全牛

2、50 0以下版本的火狐瀏覽器未啟用沙箱保護機制,遠程攻擊者僅利用該漏洞即可執(zhí)行任意代碼。3、對于50 0及以上版本的火狐瀏覽器,遠程攻擊者需同時利用該漏洞與沙箱繞過漏洞來執(zhí)行任意代碼。

近日,國家信息安全漏洞庫(CNNVD)收到北京長亭科技有限公司(CNNVD 技術支撐單位)關于火狐瀏覽器(Mozilla Firefox)數(shù)字錯誤漏洞(CNNVD-201703-910)情況的報送。

由于攻擊者可利用該漏洞執(zhí)行任意代碼,危害程度較高,且該瀏覽器用戶數(shù)量眾多,漏洞影響范圍較廣,國家信息安全漏洞庫(CNNVD)對此進行了跟蹤分析,情況如下:

一、 漏洞簡介

Mozilla Firefox和Firefox ESR是美國Mozilla基金會開發(fā)的瀏覽器產(chǎn)品。Firefox是一款開源Web瀏覽器;Firefox ESR是Firefox的一個延長支持版本。

Mozilla Firefox 49.0至52.0版本和Firefox ESR49.0至52.0版本中存在整數(shù)溢出漏洞(CNNVD-201703-910,CVE-2017-5428)。該漏洞由于createImageBitmap函數(shù)沒有對傳入的整數(shù)進行邊界檢查,導致遠程攻擊者可通過構造的惡意頁面利用該漏洞執(zhí)行任意代碼。

二、 漏洞危害

1、遠程攻擊者可通過構造的惡意頁面利用該漏洞,誘使用戶點擊惡意鏈接使用火狐瀏覽器加載并執(zhí)行惡意代碼,從而在用戶主機上執(zhí)行任意命令。

2、50.0以下版本的火狐瀏覽器未啟用沙箱保護機制,遠程攻擊者僅利用該漏洞即可執(zhí)行任意代碼。

3、對于50.0及以上版本的火狐瀏覽器,遠程攻擊者需同時利用該漏洞與沙箱繞過漏洞來執(zhí)行任意代碼。

三、 修復措施

目前,火狐瀏覽器官方已針對該漏洞發(fā)布安全公告。請受影響用戶及時檢查是否受該漏洞影響。

【升級修復】

受影響用戶可升級至Firefox 52.0.1版本和Firefox ESR 52.0.1版本以消除漏洞影響。

官方公告:

鏈接已復制,快去分享吧

企業(yè)網(wǎng)版權所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號