CNNVD有关火狐浏览器(Mozilla Firefox)漏洞情况的通报

本文讲的是 CNNVD有关火狐浏览器(Mozilla Firefox)漏洞情况的通报,近日,国家信息安全漏洞库(CNNVD)收到北京长亭科技有限公司(CNNVD 技术支撑单位)关于火狐浏览器(Mozilla Firefox)数字错误漏洞(CNNVD-201703-910)情况的报送。

由于攻击者可利用该漏洞执行任意代码,危害程度较高,且该浏览器用户数量众多,漏洞影响范围较广,国家信息安全漏洞库(CNNVD)对此进行了跟踪分析,情况如下:

一、 漏洞简介

Mozilla Firefox和Firefox ESR是美国Mozilla基金会开发的浏览器产品。Firefox是一款开源Web浏览器;Firefox ESR是Firefox的一个延长支持版本。

Mozilla Firefox 49.0至52.0版本和Firefox ESR49.0至52.0版本中存在整数溢出漏洞(CNNVD-201703-910,CVE-2017-5428)。该漏洞由于createImageBitmap函数没有对传入的整数进行边界检查,导致远程攻击者可通过构造的恶意页面利用该漏洞执行任意代码。

二、 漏洞危害

1、远程攻击者可通过构造的恶意页面利用该漏洞,诱使用户点击恶意链接使用火狐浏览器加载并执行恶意代码,从而在用户主机上执行任意命令。

2、50.0以下版本的火狐浏览器未启用沙箱保护机制,远程攻击者仅利用该漏洞即可执行任意代码。

3、对于50.0及以上版本的火狐浏览器,远程攻击者需同时利用该漏洞与沙箱绕过漏洞来执行任意代码。

三、 修复措施

目前,火狐浏览器官方已针对该漏洞发布安全公告。请受影响用户及时检查是否受该漏洞影响。

【升级修复】

受影响用户可升级至Firefox 52.0.1版本和Firefox ESR 52.0.1版本以消除漏洞影响。

官方公告:

https://www.mozilla.org/en-US/security/advisories/mfsa2017-08/

【临时缓解】

如用户不方便升级,可采取临时解决方案:

暂时禁用Javascript;
在漏洞未修复前,建议用户不要点击不可信链接。
本通报由CNNVD技术支撑单位——北京长亭科技有限公司提供支持。

CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD联系。

时间: 2024-10-03 16:23:30

CNNVD有关火狐浏览器(Mozilla Firefox)漏洞情况的通报的相关文章

Mozilla Firefox漏洞占据了浏览器漏洞总量的44%

Cenzic公司的最新报告显示,2009年上半年,Mozilla Firefox漏洞占据了浏览器漏洞总量的44%,多过任何其他的浏览器. Apple的Safari浏览器位列第二,其漏洞量占有率为35%,其后是IE(15%).总部位于加州的渗透测试厂商Santa Clara说,Safari漏洞是由基于Apple iPhone浏览器的问题引发的.Cenzic说浏览器漏洞占所有Web漏洞量的8%.Cenzic在2009年上半年收集了基于Web的漏洞数据,浏览器的排名就是由研究审查这些数据得出的bug数

CNNVD有关Cisco IOS&IOS XE Software CMP 安全漏洞情况的通报

本文讲的是CNNVD有关Cisco IOS&IOS XE Software CMP 安全漏洞情况的通报,路由交换市场份额领先的思科(Cisco)公司于3月17日发布了IOS和IOS XE Software安全漏洞(CNNVD-201703-840),引起了广泛关注.该漏洞允许未授权的攻击者执行任意代码.提升权限.重启设备等.国家信息安全漏洞库(CNNVD)对此进行了跟踪分析,具体情况如下: 一. 漏洞简介 Cisco IOS/IOS XE Software是美国思科(Cisco)公司为其网络设备

关于iOS系统“Trident”漏洞情况的通报

本文讲的是 关于iOS系统"Trident"漏洞情况的通报,近日,互联网上披露了有关iOS操作系统存在"Trident"漏洞(CNNVD-201608-460.CNNVD-201608-461.CNNVD-201608-462)的情况.8月15日,由加拿大公民实验室(Citizen Lab)与美国Lookout移动安全公司联合指出,iOS 7.0版本至9.3.4版本中存在三处安全漏洞,攻击者可利用上述漏洞对受影响的苹果手机进行远程攻击,从而实现全面控制的目的. 8月

关于“BadKernel”漏洞情况的通报

本文讲的是关于"BadKernel"漏洞情况的通报,近日,国家信息安全漏洞库(CNNVD)收到360手机卫士阿尔法团队关于Chrome V8引擎"BadKernel"漏洞的情况报送.该漏洞存在于Chrome V8引擎的历史版本中,远程攻击者可利用该漏洞对使用受影响引擎的产品进行远程攻击.由于该漏洞影响范围较广,危害较为严重,根据CNNVD相关规定,已对此漏洞进行收录,并分配编号CNNVD-201608-414. 一.漏洞简介 Chrome V8是Google Chr

关于Joomla!内容管理系统漏洞情况的通报

本文讲的是关于Joomla!内容管理系统漏洞情况的通报,近日,国家信息安全漏洞库(CNNVD)收到北京白帽汇科技有限公司关于Joomla!内容管理系统存在安全绕过漏洞(CNNVD-201610-739)及远程提权漏洞(CNNVD-201610-740)的情况报送.10月25日,Joomla!官方对上述漏洞已发布升级公告.由于上述漏洞影响范围广,危害级别高,国家信息安全漏洞库(CNNVD)对此进行了跟踪分析,情况如下. 一.漏洞简介 Joomla!是美国Open Source Matters团队使

关于WPS Office安全漏洞情况的通报

本文讲的是关于WPS Office安全漏洞情况的通报,近日,国家信息安全漏洞库(CNNVD)收到关于WPS Office缓冲区错误漏洞的情况报送,并于第一时间与软件厂商"北京金山办公软件公司"进行了沟通.经金山公司确认,该漏洞存在.根据CNNVD相关规定,已对此漏洞进行收录,并分配编号CNNVD-201702-646.漏洞相关情况如下: 一.漏洞简介 WPS Office是北京金山办公软件公司研发的一套办公软件.该软件提供了办公软件最常用的文字.表格.演示等功能. WPS Office

关于PHPMailer漏洞情况的通报

本文讲的是 关于PHPMailer漏洞情况的通报,近日,国家信息安全漏洞库(CNNVD)收到多个关于"PHPMailer"漏洞情况的报送.先是编号为CNNVD-201612-675的"PHPMailer输入验证漏洞",2016年12月24日,PHPMailer官方针对该漏洞发布修复补丁,但安全人员发现该补丁未能完全修复该漏洞,从而导致新的输入验证漏洞产生(CNNVD-201612-755).为此,12月28日,PHPMailer官方再次针对新漏洞发布修复补丁.由于上

关于Tomcat本地提权漏洞情况的通报

本文讲的是关于Tomcat本地提权漏洞情况的通报,近日,互联网上披露了关于Tomcat启动脚本存在本地提权漏洞(CNNVD-201609-410)的情况.在基于deb安装格式的操作系统(如Debian.Ubuntu等)下,使用Tomcat安装包生成的初始化脚本存在此漏洞,具有普通用户权限的攻击者可利用该漏洞修改主机任意文件,在Tomcat重启后可进一步提升权限至超级管理员以完全控制服务器.目前,相关操作系统厂商已修复该漏洞. 一.漏洞简介 Apache Tomcat是美国阿帕奇(Apache)软

关于MySQL数据库漏洞情况的通报

本文讲的是 关于MySQL数据库漏洞情况的通报,近日,互联网上披露了关于MySQL数据库存在代码执行漏洞(CNNVD-201609-183)的情况.由于MySQL数据库默认配置存在一定缺陷,导致攻击者可利用该漏洞对数据库配置文件进行篡改,进而以管理员权限执行任意代码,远程控制受影响服务器.目前,Oracle官方网站发布声明将于10月发布关键补丁更新信息. 一.漏洞简介 Oracle MySQL是美国甲骨文(Oracle)公司的一套开源的关系数据库管理系统. MySQL数据库中的配置文件(my.c