Инженеры Mozilla устранили критическую RCE-уязвимость Firefox UI - «Новости»
sitename
OpenAI после критики GPT-5 реорганизовала команду, отвечающую за поведение ИИ - «Новости сети»
OpenAI после критики GPT-5 реорганизовала команду, отвечающую за поведение ИИ - «Новости сети»
 Tencent выпустила открытую ИИ-модель, которая создаёт целые 3D-миры по одному изображению - «Новости сети»
Tencent выпустила открытую ИИ-модель, которая создаёт целые 3D-миры по одному изображению - «Новости сети»
 AMD заявила, что всё ещё не может удовлетворить спрос на видеокарты Radeon RX 9000 - «Новости сети»
AMD заявила, что всё ещё не может удовлетворить спрос на видеокарты Radeon RX 9000 - «Новости сети»
 AMD заявила, что ИИ недооценён и важно создать «совершенные ПК» для локальной работы с ИИ - «Новости сети»
AMD заявила, что ИИ недооценён и важно создать «совершенные ПК» для локальной работы с ИИ - «Новости сети»
 Bose обновила полноразмерные наушники QuietComfort Ultra — цена не изменилась - «Новости сети»
Bose обновила полноразмерные наушники QuietComfort Ultra — цена не изменилась - «Новости сети»
 Cronos: The New Dawn не станет следующей Dead Space или Resident Evil 4 — критики вынесли вердикт новой игре от создателей ремейка Silent Hill 2 - «Новости сети»
Cronos: The New Dawn не станет следующей Dead Space или Resident Evil 4 — критики вынесли вердикт новой игре от создателей ремейка Silent Hill 2 - «Новости сети»
 Hollow Knight: Silksong уже исправляет ошибки оригинальной игры — горячо ожидаемая метроидвания получит поддержку ультрашироких мониторов - «Новости сети»
Hollow Knight: Silksong уже исправляет ошибки оригинальной игры — горячо ожидаемая метроидвания получит поддержку ультрашироких мониторов - «Новости сети»
 Windows 11 получит долгожданное автопереключение светлой и тёмной темы — Microsoft представила PowerToys 0.94 - «Новости сети»
Windows 11 получит долгожданное автопереключение светлой и тёмной темы — Microsoft представила PowerToys 0.94 - «Новости сети»
 Буквально одно слово в решении суда спасло сделку Apple и Google на $20 млрд в год - «Новости сети»
Буквально одно слово в решении суда спасло сделку Apple и Google на $20 млрд в год - «Новости сети»
 Старые Pixel получили новый интерфейс Material 3 Expressive и свежие ИИ-функции Google - «Новости сети»
Старые Pixel получили новый интерфейс Material 3 Expressive и свежие ИИ-функции Google - «Новости сети»
Новости мира Интернет » Новости » Инженеры Mozilla устранили критическую RCE-уязвимость Firefox UI - «Новости»

✔Инженеры Mozilla устранили критическую RCE-уязвимость Firefox UI - «Новости»

02 февраля 2018 814 Новости 0

Разработчик Йоханн Хофманн (Johann Hofmann) обнаружил опасную уязвимость CVE-2018-5124, которой были подвержены все версии браузера Firefox, начиная с 56 (.0, .0.1, .0.2) и заканчивая 58 (.0). Firefox для Android и Firefox 52 ESR вне опасности.


Согласно отчету специалиста, проблема затрагивает компонент Chrome, входящий в состав Firefox. Стоит отметить, что данное решение не имеет отношения к браузеру Google, — оно появилось в продукте Mozilla задолго до релиза одноименного браузера. Компонент Chrome используется для работы таких элементов, как области меню, индикаторы состояния, строки заголовков окна, панели инструментов и различных элементов UI, создаваемых аддонами.


Хофманн поясняет, что перечисленные компоненты не отделяются должным образом от кода самих веб-страниц и браузер не производит необходимую «санацию» кода (sanitization), из-за чего атакующий имеет возможность разместить на своем сайте вредоносный HTML код, предназначенный для элементов Firefox UI. Таким образом преступник сможет добиться выполнения произвольного кода с привилегиями пользователя, просто обманом заставив свою жертву кликнуть по ссылке. Если пострадавший имел высокие привилегии в системе, атакующий и вовсе сможет скомпрометировать его устройство полностью.


Релиз Firefox 58.0.1 устраняет данную проблему, и всем пользователям рекомендуется обновить браузер как можно скорее, так как уязвимость определенно быстро примут на вооружение злоумышленники.


Источник новостиgoogle.com
Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Разработчик Йоханн Хофманн (Johann Hofmann) обнаружил опасную уязвимость CVE-2018-5124, которой были подвержены все версии браузера Firefox, начиная с 56 (.0, .0.1, .0.2) и заканчивая 58 (.0). Firefox для Android и Firefox 52 ESR вне опасности. Согласно отчету специалиста, проблема затрагивает компонент Chrome, входящий в состав Firefox. Стоит отметить, что данное решение не имеет отношения к браузеру Google, — оно появилось в продукте Mozilla задолго до релиза одноименного браузера. Компонент Chrome используется для работы таких элементов, как области меню, индикаторы состояния, строки заголовков окна, панели инструментов и различных элементов UI, создаваемых аддонами. Хофманн поясняет, что перечисленные компоненты не отделяются должным образом от кода самих веб-страниц и браузер не производит необходимую «санацию» кода (sanitization), из-за чего атакующий имеет возможность разместить на своем сайте вредоносный HTML код, предназначенный для элементов Firefox UI. Таким образом преступник сможет добиться выполнения произвольного кода с привилегиями пользователя, просто обманом заставив свою жертву кликнуть по ссылке. Если пострадавший имел высокие привилегии в системе, атакующий и вовсе сможет скомпрометировать его устройство полностью. Релиз Firefox 58.0.1 устраняет данную проблему, и всем пользователям рекомендуется обновить браузер как можно скорее, так как уязвимость определенно быстро примут на вооружение злоумышленники. Источник новости - google.com
CSS, Firefox кода образом атакующий браузер
0

Смотрите также

А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация