PC 平台的《Firefox》瀏覽器被揭發「Chrome UI」安全漏洞,若用舊版《Firefox》包括 56.x、57.x 及 58.0.0 去開啟 Google《Chrome》存檔的 HTML 文件,有機會被潛藏於該 HTML 文件內的惡意程式,透過「Chrome UI」而遙距控制《Firefox》瀏覽器,甚至竊取系統中的資料,建議用家盡快升級至《Firefox Quantum 58.0.1》新版。
Mozilla 日前公佈《Firefox》新漏洞「CVE-2018-5124」,更是被列為 Critical (重大) 級別,必需立即更新。Mozilla 研究人員 Johann Hofmann 發現一個跟 Google《Chrome》「撞名」的「Chrome UI」元件,無法跟網頁程式碼保持完全獨立。「Chrome UI」跟功能列、狀態列、視窗名稱列及工具列等均有直接關係,但因安全漏洞,無法阻擋 HTML 文件內的惡意指令。
【相關新聞】Chrome 64 正式版登場!緩解 Meltdown、Spectre 處理器漏洞!
【相關新聞】Intel 建議停裝更新程式 預計周末再推新測試版本
【相關新聞】【一按檢查】Spectre × Meltdown 是否中招立即知!
一旦駭客藉着「CVE-2018-5124」漏洞而進行攻擊,將可能遙距控制《Firefox》,或誘使用家點擊 惡意 URL 連結而發動攻擊。倘若《Firefox》用家具有管理員權限,駭客更可藉着系統層權限,執行任何指令及惡意程式,對系統構成重大安全威脅。Mozilla 官方建議《Firefox》56.x、57.x 及 58.0.0 版本,應立即升級至 58.0.1 新版。至於 PC 平台的《Firefox 52 ESR》,及 Android 平台《Android》,均不受到今次事件影響。
Source:ezone.hk、Bleeping Computer