Firefox出现大漏洞 黑客恐取得系统层权限执行任何指令

最新推荐文章于 2023-12-18 15:27:50 发布
最新推荐文章于 2023-12-18 15:27:50 发布
阅读量1.2k 收藏
点赞数

Mozilla发出安全公告揭露Firefox56到58版存在一个能让未经验证的远程攻击者在受害系统上执行程序代码的漏洞。Mozilla已经释出更新版Firefox解决问题。


文章出自:SBF999胜博发娱乐时代 http://www.iselex.com/

这项编号为CVE-2018-5124的漏洞是由Mozilla研究人员Johann Hofmann通报,它存在于Firefox浏览器中一个名为「Chrome」的UI组件,后者包含浏览器功能列、状态栏、窗口名称列、工具栏或由插件建立的其他UI组件。

Chrome组件不会与网页程序代码切开,因此针对UI设计的恶意代码也能在浏览器上执行。根据思科的安全公告,由于Firefox对chrome文件中的HTML片段的消毒(sanitization)不足,使外部恶意指令得以从chrome UI进入浏览器及电脑上执行。

利用这项漏洞,攻击者可以将程序代码诱使用户点选URL或开启档案以发动攻击。成功的攻击可让黑客以用户权力执行程序代码,如果该用户具有管理员权限,则黑客就能取得系统层权限执行任何指令。由于程序代码可以藏在iFrame,在神不知鬼不觉情况下下载到电脑中,Mozilla将本漏洞的风险指数列为重大。

该项漏洞影响版本包括Firefox 56.x、57.x 到58.0.0。Firefox for Android 及Firefox 52 ESR则不受影响。Mozilla已经释出漏洞修补完成的更新版Firefox 58.0.1,呼吁用户尽速安装。思科则提醒用户不要随意开启来路不明的网页连结或档案。

mondy1989
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
火狐浏览器firefox115win764位最终版
01-27
这是火狐浏览器支持win7的最后一个版本,欢迎大家下载
最新的Firefox火狐 linux64位离线安装包
最新发布
03-20
自带的火狐浏览器太老了,通过该浏览器,很多功能都不能实现,实际上不是bug,只是该更新版本了,建议安装最新的火狐浏览器。条件限制,有时只能离线安装,可以下载此离线文件进行安装。 先把安装包拉进去,打开...
火狐发现windows漏洞_使Firefox看起来像Windows Vista上的Internet Explorer 7(主要是)...
culunxun2863的博客
09-26 337
火狐发现windows漏洞One of the complaints that I’ve heard quite often lately about Firefox is that the default Firefox theme in Vista just doesn’t feel like it belongs with the rest of the eye candy. After d...
火狐发现windows漏洞_Firefox刚刚放弃了对Windows XP和Vista的支持,Steam很快也会出现...
culunxun2863的博客
09-18 293
火狐发现windows漏洞Still using Windows XP or Vista? Firefox isn’t providing you with security updates anymore, and soon Steam will stop working altogether. 仍在使用Windows XP或Vista? Firefox不再为您提供安全更新,Steam很快将完...
火狐发现windows漏洞_将Firefox设置为其他Windows之上
culiyuan8310的博客
09-24 436
火狐发现windows漏洞Sometimes you need to keep a close watch on a website and have Firefox remain in view regardless of the other apps running. See how you can keep Firefox in constant view with the Always o...
Mozilla 修复Firefox 浏览器的多个高危漏洞
smellycat000的专栏
03-17 953
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士本周,Mozilla发布Firefox 111,修复了13个漏洞,其中一些是严重级别。在这13个CVE漏洞中,7个为“高危”级别,3个仅影响安卓版本的Firefox浏览器,可导致黑客隐藏全屏通知,从而导致用户混淆或欺骗攻击,并在无需提示的情况下打开第三方应用。其它高危漏洞可导致任意代码执行和信息泄露后果。Sophos 公司分析了这些补丁并着重强调...
Firefox 31~34远程命令执行漏洞的分析
weixin_34239169的博客
03-08 211
phith0n · 2015/03/26 17:470x00 前言前段时间,二哥在很多浏览器中将脚本层面的漏洞提升为远程命令执行,几乎日遍市面上所有国产浏览器,这成为了许多人津津乐道的话题。确实,在当今这个底层安全防护越来越强的环境下,堆栈溢出、UAF造成的漏洞利用起来变得很困难,但如果借助浏览器提供的一些脚本层接口做到RCE,将是一个是两拨千金的过程。CVE-2014-8638就是这样一个漏洞,...
adblock for macOS firefox xpi插件火狐firefox
08-15
火狐firefox adblock xpi插件,adblock for macOS firefox,解决火狐浏览器安装adblock显示此页面在您的地区不可用问题,解压拖动到火狐浏览器即可安装,完美解决无法从插件市场安装的问题
火狐firefox广告拦截插件 adblock-plus-2.8.2和adguard
06-27
受影响的包括uBlock Origin、AdGuard AdBlocker、AdBlock For Firefox、AdNauseam等广告拦截扩展。只有科学上网,去AdGuard或AdGuard AdBlocker英文网站主页安装这个插件。你也可以尝试下载这个离线安装插件,解压缩...
Firefox火狐浏览器官方45.0.2-win32版本exe安装包
12-24
Firefox火狐浏览器45.0.2-win32版本详解》 Firefox,这款由Mozilla基金会开发的开源网络浏览器,自2004年首次亮相以来,就以其强大的功能、高度的可定制性和对用户隐私的重视赢得了全球用户的喜爱。在本文中,...
Firefox 3 发现第一个安全漏洞
COMSHARP CMS 专栏
06-19 597
2008年6月17日是 Firefox 3 正式发布日期,24小时内的下载量已超过800万,然而就在正式推出后不到5个小时,TippingPoint 数字免疫实验室(DVLabs) 便报道了 Forefox 3 的一个严重的安全漏洞。DVLabs 称,该漏洞系研究者发现,DVLabs 已经向该研究者支付费用购买这一发现并做出验证,DVLabs 同时立即将该漏洞报告了 Firefox 安全
linux对firefox权限,Mozilla Firefox 不明细节权限提升漏洞
weixin_33514163的博客
04-30 68
发布日期:2014-03-13更新日期:2014-03-14受影响系统:Mozilla Firefox描述:--------------------------------------------------------------------------------BUGTRAQ ID: 66206Firefox是一款非常流行的开源WEB浏览器。Mozilla Firefox在实现上存在不明细...
常见运维系统漏洞
Fly_鹏程万里
12-17 7243
无意中发现了一个巨牛巨牛的人工智能教程,忍不住分享一下给大家。教程不仅是零基础,通俗易懂,小白也能学,而且非常风趣幽默,还时不时有内涵段子,像看小说一样,哈哈~我正在学习中,觉得太牛了,所以分享给大家。点这里可以跳转到教程! 一般分自动化部署和运维监控相关的的工具。漏洞可以通过搜索引擎搜索,github搜索,ExploitDB搜索,官网上的安全通告获取。 内网的通用类应用比较常见的问题是弱口令...
安全狗漏洞通告:Mozilla Firefox Use-after-free漏洞解决方案
bocco的博客
03-07 2817
近日,安全狗应急响应中心监测到Mozilla发布安全公告,修复了FirefoxFirefox ESR、Firefox for Android、Focus和Thunderbird中2个被积极利用的0 day漏洞(CVE-2022-26485和CVE-2022-26486)。
攻防演练中攻击队需要的安全技能第二篇
m0_73803866的博客
09-29 1391
系统漏洞的挖掘需要很多相对高级的漏洞挖掘方法。从实战角 度看,以下6种挖掘方法最为实用:代码跟踪、动态调试、Fuzzing技 术、补丁对比、软件逆向静态分析、系统安全机制分析。1)代码跟踪。代码跟踪是指通过自动化分析工具和人工审查结合 的方式,对程序源代码逐条进行检查分析,发现其中的错误信息、安 全隐患和规范性缺陷,以及由这些问题引发的安全漏洞,并提供代码 修订措施和建议。2)动态调试。动态调试原指程序作者利用集成环境自带的调试器 跟踪程序的运行,来协助解决程序中的错误。
Google Chrome 任意文件读取 (CVE-2023-4357)漏洞
weixin_62693307的博客
11-20 1136
中用户提供的 XML 输入验证不足。远程攻击者可以创建特制网页,诱骗受害者访问该网页并获取用户系统上的敏感信息。远程攻击者可利用该漏洞通过构建的 HTML 页面绕过文件访问限制,导致chrome任意文件读取。Libxslt 是在基于 WebKit 的浏览器(如 chrome,safari 等)中默认使用的 XSL 库。Libxslt 允许 XSL document() 方法加载的文档内部存在外部实体。攻击者可以绕过安全限制,从 http(s):// 网址访问 file:// 网址并获取文件访问权限
利用永恒之蓝漏洞拿到Windows Server2008的权限
m0_73965301的博客
07-29 365
永恒之蓝(Eternal Blue)爆发于2017年4月14日晚,是一种利用Windows系统的SMB协议漏洞来获取系统的最高权限,以此来控制被入侵的计算机。甚至于2017年5月12日, 不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒,使全世界大范围内遭受了该勒索病毒,甚至波及到学校、大型企业、政府等机构,只能通过支付高额的赎金才能恢复出文件。3.search ms17搜索模块,扫描445端口在线主机 ,MS17_010漏洞利用需要开放445 smb服务。也可以理解为可利用的模块。
漏洞挖掘 】 通用型漏洞挖掘思路技巧
xxwn200301的博客
08-22 502
大概是在上半年提交了某个CMS的命令执行漏洞,现在过了那么久,也想通这次现挖掘通用型漏洞,整理一下挖掘思路,分享给大家。如果对网安和挖洞感兴趣的小伙伴又看不懂本文的话,可以直接跳转最后,有惊喜。挖掘后干嘛?提交漏洞呗~好的,这个算是刚开始学习没多久挖掘到的漏洞,其实现在觉得技术含量不高,发现漏洞也不难,主要想分享一下过程以及思路。最后,希望看到这篇文章到小伙伴也能很快挖掘到通用型漏洞
最为高级的实战化白帽能力—系统漏洞利用与防护、系统漏洞挖掘
muliangsheng1988的博客
12-18 1381
高阶能力是最为高级的实战化白帽能力,学习和掌握的难度普遍较高,白帽子通常需要 多年的学习和实战经验积累,才能初步掌握其中一小部分的关键能力。从实战角度出发,白 帽子的高阶能力主要包括:系统漏洞利用与防护、系统漏洞挖掘、身份隐藏、内网渗透、 高级安全工具、编写 PoC 或 EXP 等高级利用、掌握 CPU 指令集、团队协作等几个方面。
大学生创新创业项目管理系统论文-java-论文-文档-大学生创新创业项目管理系统文档
02-19
文中提到的系统基于Java的SpringBoot框架构建,采用B/S架构和MVC模式,使用Maven进行项目管理,数据库为MySQL 5.7,开发工具包括IDEA、Eclipse或Myeclipse,数据库管理工具如SQLyog或Navicat,支持的浏览器有谷歌、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值