Firefox爆遠端程式碼執行重大漏洞

Mozilla周三發出安全公告揭露Firefox 56到58版存在一個能讓未經驗證的遠端攻擊者在受害系統上執行程式碼的漏洞。Mozilla已經釋出更新版Firefox解決問題。 

這項編號為CVE-2018-5124的漏洞是由Mozilla研究人員Johann Hofmann通報，它存在於Firefox瀏覽器中一個名為「Chrome」的UI元件，後者包含瀏覽器功能列、狀態列、視窗名稱列、工具列或由外掛程式建立的其他UI元件。 

Chrome元件不會與網頁程式碼切開，因此針對UI設計的惡意程式碼也能在瀏覽器上執行。根據思科的安全公告，由於Firefox對chrome文件中的HTML片段的消毒（sanitization）不足，使外部惡意指令得以從chrome UI進入瀏覽器及電腦上執行。 

利用這項漏洞，攻擊者可以將程式碼誘使用戶點選URL或開啟檔案以發動攻擊。成功的攻擊可讓駭客以使用者權限執行程式碼，如果該用戶具有管理員權限，則駭客就能取得系統層權限執行任何指令。由於程式碼可以藏在iFrame，在神不知鬼不覺情況下下載到電腦中，Mozilla將本漏洞的風險指數列為重大（critical）。 

該項漏洞影響版本包括Firefox 56.x、57.x 到58.0.0。Firefox for Android 及Firefox 52 ESR則不受影響。Mozilla已經釋出漏洞修補完成的更新版Firefox 58.0.1，呼籲用戶儘速安裝。思科則提醒用戶不要隨意開啟來路不明的網頁連結或檔案。