近日,国家信息安全漏洞库(cnnvd)收到北京长亭科技有限公司(cnnvd 技术支撑单位)关于火狐浏览器(mozilla firefox)数字错误漏洞(cnnvd-201703-910)情况的报送。
由于攻击者可利用该漏洞执行任意代码,危害程度较高,且该浏览器用户数量众多,漏洞影响范围较广,国家信息安全漏洞库(cnnvd)对此进行了跟踪分析,情况如下:
一、 漏洞简介
mozilla firefox和firefox esr是美国mozilla基金会开发的浏览器产品。firefox是一款开源web浏览器;firefox esr是firefox的一个延长支持版本。
mozilla firefox 49.0至52.0版本和firefox esr49.0至52.0版本中存在整数溢出漏洞(cnnvd-201703-910,cve-2017-5428)。该漏洞由于createimagebitmap函数没有对传入的整数进行边界检查,导致远程攻击者可通过构造的恶意页面利用该漏洞执行任意代码。
二、 漏洞危害
1、远程攻击者可通过构造的恶意页面利用该漏洞,诱使用户点击恶意链接使用火狐浏览器加载并执行恶意代码,从而在用户主机上执行任意命令。
2、50.0以下版本的火狐浏览器未启用沙箱保护机制,远程攻击者仅利用该漏洞即可执行任意代码。
3、对于50.0及以上版本的火狐浏览器,远程攻击者需同时利用该漏洞与沙箱绕过漏洞来执行任意代码。
本文转自d1net(转载)
![“云管边端”协同的边缘计算安全防护解决方案0 引 言1 5G 及边缘计算2 边缘计算面临的风险3 “云管边端”安全防护技术4 “云管边端”安全防护实践5 结 语[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)