关闭

Firefox出现大漏洞 黑客恐取得系统层权限执行任何指令

507人阅读 评论(0) 收藏 举报

Mozilla发出安全公告揭露Firefox56到58版存在一个能让未经验证的远程攻击者在受害系统上执行程序代码的漏洞。Mozilla已经释出更新版Firefox解决问题。


文章出自:SBF999胜博发娱乐时代 http://www.iselex.com/

这项编号为CVE-2018-5124的漏洞是由Mozilla研究人员Johann Hofmann通报,它存在于Firefox浏览器中一个名为「Chrome」的UI组件,后者包含浏览器功能列、状态栏、窗口名称列、工具栏或由插件建立的其他UI组件。

Chrome组件不会与网页程序代码切开,因此针对UI设计的恶意代码也能在浏览器上执行。根据思科的安全公告,由于Firefox对chrome文件中的HTML片段的消毒(sanitization)不足,使外部恶意指令得以从chrome UI进入浏览器及电脑上执行。

利用这项漏洞,攻击者可以将程序代码诱使用户点选URL或开启档案以发动攻击。成功的攻击可让黑客以用户权力执行程序代码,如果该用户具有管理员权限,则黑客就能取得系统层权限执行任何指令。由于程序代码可以藏在iFrame,在神不知鬼不觉情况下下载到电脑中,Mozilla将本漏洞的风险指数列为重大。

该项漏洞影响版本包括Firefox 56.x、57.x 到58.0.0。Firefox for Android 及Firefox 52 ESR则不受影响。Mozilla已经释出漏洞修补完成的更新版Firefox 58.0.1,呼吁用户尽速安装。思科则提醒用户不要随意开启来路不明的网页连结或档案。

0
0
查看评论

禁止Firefox自动更新

//关闭自动更新 user_pref("app.update.auto", false); user_pref("app.update.enabled", false);//禁用火狐浏览器更新 user_pref("app.update.migrat...
  • shmilxu
  • shmilxu
  • 2017-02-13 18:44
  • 5644

黑客常用命令大全

net user heibai lovechina /add        加一个heibai的用户密码为lovechina net localgroup Administrators heibai /add  ...
  • zdwzzu2006
  • zdwzzu2006
  • 2008-03-29 23:24
  • 6576

大家好,我是黑客H,我为M高校的网络安全带盐!

https://bbs.ichunqiu.com/thread-24157-1-1.html 黑客H是M高校的一名计算机专业学生,为了诠释神马叫闲的蛋疼,他决定测试下他们学校的网站安全系数,于是便有了下文 0x01信息收集 废话开篇:俗话说得好,基【计算机】佬不出门...
  • wjy397
  • wjy397
  • 2017-06-28 14:58
  • 562

基本黑客命令

基本黑客命令 ping 、 ipconfig /all net use \\ip\ipc$ " " /user:" " 建立IPC空链接 net use \\ip\ipc$ "密码" /user:"用户名" 建...
  • Magneto7
  • Magneto7
  • 2013-06-25 06:44
  • 2051

【技术分享】CVE-2016-6662:Mysql远程代码执行/权限提升技术分析正式版(9/13 10:47更新)

【技术分享】CVE-2016-6662:Mysql远程代码执行/权限提升技术分析正式版(9/13 10:47更新) 作者:苦逼司马(凌晨四点收到投稿,感谢作者连夜编辑技术分析) 稿费:800RMB 投稿方式:发送邮件至linwei#360...
  • qq_27446553
  • qq_27446553
  • 2016-09-14 08:49
  • 1813

黑客的工作就是找漏洞 最大的漏洞是自己

黑客的工作就是找漏洞 最大的漏洞是自己2012-06-18 09:47:20  来源:新闻晨报 Webjx.Com网页提示:黑客揭秘地下产业链:最大漏洞是用户自己.去年底,600余万个明文注册的邮箱账号和密码在网上遭到披露;去年12月25日,天涯社区对外发布公告,同样称...
  • forest_fire
  • forest_fire
  • 2016-03-21 11:09
  • 811

开源与“黑客”入侵

请不要因为没吃过猪肉,也没见过猪跑,就否认这世界上有猪的存在;更没必要国为2007是猪年一下子变得跟猪一样“可爱”  开源最原始的说法就是开放源代码,而黑客已经是IT业乃至社会大众都耳熟能详的名词了,就连上学3年级的小强都经常信誓旦旦的说:“我长大要做一名黑客!”。全世界的黑客非常多,因为性质不同可...
  • easyjf
  • easyjf
  • 2007-01-11 14:43
  • 1506

利用CouchDB未授权访问漏洞执行任意系统命令

0x00 前言 5月16日阿里云盾攻防对抗团队从外部渠道获知CouchDB数据库存在未授权访问漏洞(在配置不正确的情况下)。经过测试,云盾团队率先发现利用该未授权访问漏洞不仅会造成数据的丢失和泄露,甚至可执行任意系统命令。云盾安全专家团队第一时间完成了漏洞上报、安全评级,并通知了所有可能受影响...
  • qq_33020901
  • qq_33020901
  • 2017-12-01 12:50
  • 125

firefox不安全连接

firefox47.0 突然不能打开https://www.baidu.com等网站。显示不安全链接。解决: firefox输入:about:support 点击:显示文件夹 删除:cert8.db文件 重启firefox。
  • Mr0Yang
  • Mr0Yang
  • 2016-07-14 14:29
  • 4375

火狐(FireFox)黑客常用插件

火狐(FireFox)黑客常用插件 经常重装FF就会忘记一些插件,写下了便于记忆。安装技巧(Shift+Ctrl+A)或者工具-附加组件,搜索下列工具,有的需安装后重启。 1、HackBar 2、Tamper Data 3、Firebug 4、RefControl 5、Cookies M...
  • zyw_anquan
  • zyw_anquan
  • 2014-03-03 16:44
  • 2973
    个人资料
    • 访问:2816次
    • 积分:55
    • 等级:
    • 排名:千里之外
    • 原创:0篇
    • 转载:12篇
    • 译文:0篇
    • 评论:0条