【漏洞预警】关于火狐浏览器(Mozilla Firefox)漏洞情况的通报

admin 2021年12月2日00:51:43cnnvd_warn评论15 次浏览阅读模式

       近日,国家信息安全漏洞库(CNNVD)收到北京长亭科技有限公司(CNNVD 技术支撑单位)关于火狐浏览器(Mozilla Firefox)数字错误漏洞(CNNVD-201703-910)情况的报送。由于攻击者可利用该漏洞执行任意代码,危害程度较高,且该浏览器用户数量众多,漏洞影响范围较广,国家信息安全漏洞库(CNNVD)对此进行了跟踪分析,情况如下:

一、漏洞简介

        Mozilla Firefox和Firefox ESR是美国Mozilla基金会开发的浏览器产品。Firefox是一款开源Web浏览器;Firefox ESR是Firefox的一个延长支持版本。  

        Mozilla Firefox 49.0至52.0版本和Firefox ESR49.0至52.0版本中存在整数溢出漏洞(CNNVD-201703-910,CVE-2017-5428)。该漏洞由于createImageBitmap函数没有对传入的整数进行边界检查,导致远程攻击者可通过构造的恶意页面利用该漏洞执行任意代码。  

二、漏洞危害

        1、远程攻击者可通过构造的恶意页面利用该漏洞,诱使用户点击恶意链接使用火狐浏览器加载并执行恶意代码,从而在用户主机上执行任意命令。

        2、50.0以下版本的火狐浏览器未启用沙箱保护机制,远程攻击者仅利用该漏洞即可执行任意代码。

        3、对于50.0及以上版本的火狐浏览器,远程攻击者需同时利用该漏洞与沙箱绕过漏洞来执行任意代码。

三、修复措施

        目前,火狐浏览器官方已针对该漏洞发布安全公告。请受影响用户及时检查是否受该漏洞影响。

        【升级修复】

         受影响用户可升级至Firefox 52.0.1版本和Firefox ESR 52.0.1版本以消除漏洞影响。

         官方公告:https://www.mozilla.org/en-US/security/advisories/mfsa2017-08/ 

        【临时缓解】

         如用户不方便升级,可采取临时解决方案:

         暂时禁用Javascript。

         在漏洞未修复前,建议用户不要点击不可信链接。

         本通报由CNNVD技术支撑单位——北京长亭科技有限公司提供支持。

         CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD联系。

         联系方式: [email protected]

  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年12月2日00:51:43
  • 转载请务必保留本文链接:http://zone.ci/archives/cnnvd/cnnvd_warn/2021/12/02/259.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: