本月14日Mozilla基金會發布Firefox 126,當中修補PDF檢視元件(PDF.js)高風險漏洞CVE-2024-4367,此漏洞發生的原因,在於處理字型時缺乏類型檢查,導致能被攻擊者用來執行任意JavaScript程式碼。
通報這項漏洞的資安業者Codean Labs上週也提出說明,指出PDF.js由JavaScript開發而成,但弱點並非來自此指令碼的功能,而是字型的處理層面。
由於對於TrueType等現代格式的字型,PDF.js主要透過瀏覽器的字型渲染工具處理,但除此之外,此JavaScript指令碼必須將字元轉換成頁面上的曲線來呈現,因此,若要促使執行效能提升,開發者會為每個字型預先編譯路徑產生器。
為了驗證此項威脅的可行性,他們藉由特定參數觸發PDF.js漏洞,從而插入任意的JavaScript程式碼並執行。一旦使用者在Firefox開啟惡意PDF檔案,攻擊者就有機會利用漏洞來達到目的。
熱門新聞
2024-11-29
2024-11-20
2024-11-15
2024-11-15
2024-12-19
Advertisement