近日,Mozilla基金会发布一个Firefox浏览器的安全更新,即CNNVD-201508-043漏洞,该漏洞存在于Firefox浏览器内置PDF阅读器的pdf.js中,危险级别为高危。该漏洞允许攻击者绕过同源策略,在本地文件上下文中植入远程执行JavaScript代码,该漏洞的利用代码已经在网络中被大量散播。攻击者们通过该漏洞,可以获得本地文件的读写权限,然后可以进一步将各类恶意代码上传到目标主机上或者从目标服务器上下载系统敏感文件,因此,建议使用Firefox火狐浏览器的用户,尽快更新火狐版本,及时修改用户密码。
Firefox PDF reader在实现上存在安全漏洞,远程攻击者利用此漏洞可绕过同源策略,读取任意文件或获取提升的权限,通过利用这个漏洞,攻击者就可以向PDF阅读器注入一个能够搜索和上传本地文件的脚本。如果目标主机上运行了这个带有漏洞的火狐浏览器,那么这个漏洞就可以允许攻击者从目标计算机的硬盘驱动器之中盗取用户的敏感文件。而且这种攻击方法可以用来攻击Windows和Linux系统平台的用户。
目前网上已经有了攻击者改进的用于Linux平台,Windows平台的攻击脚本,新添加了需要搜集的文件。此外,攻击者还开发了用于Mac OS X操作系统的恶意代码。
Firefox PDF reader在实现上存在安全漏洞,远程攻击者利用此漏洞可绕过同源策略,读取任意文件或获取提升的权限,通过利用这个漏洞,攻击者就可以向PDF阅读器注入一个能够搜索和上传本地文件的脚本。如果目标主机上运行了这个带有漏洞的火狐浏览器,那么这个漏洞就可以允许攻击者从目标计算机的硬盘驱动器之中盗取用户的敏感文件。而且这种攻击方法可以用来攻击Windows和Linux系统平台的用户。
目前网上已经有了攻击者改进的用于Linux平台,Windows平台的攻击脚本,新添加了需要搜集的文件。此外,攻击者还开发了用于Mac OS X操作系统的恶意代码。
还没有评论,来说两句吧...