警告更新Mozilla Firefox以修补关键文件窃取漏洞
相关标签: # 服务器# 研究# 服务器# 软件# 补丁
该恶意广告利用Firefox PDF Viewer和JavaScript上下文中的一个严重漏洞,注入一个能够搜索的脚本用户本地文件系统上的敏感文件.
Mozilla版本的Firefox不包含PDF查看器,例如Firefox for Android,不受通过PDF阅读器进行同源违规和本地文件窃取“脆弱性。
该漏洞不会执行任何任意代码,但会将JavaScript有效负载注入本地文件上下文,从而允许脚本搜索和上载用户的敏感本地文件。
攻击者所需要做的就是加载带有此漏洞的页面,然后坐下来放松。该漏洞将在后台悄悄窃取文件。
据Mozilla首席安全研究员Daniel Veditz称,该漏洞专门搜索:
- Windows系统上的FTP配置文件、subversion、s3browser、Filezilla、libpurple和其他帐户信息。
- Linux系统上的全局配置文件和用户目录。
被利用的任何文件都会被上传到乌克兰的服务器上。
"该漏洞未留下在本地计算机上运行过的痕迹“维迪茨在一篇博客文章中写道。”如果您在Windows或Linux上使用Firefox,如果您使用相关程序,请谨慎地更改上述文件中的任何密码和密钥。"
Mac用户目前不会受到这种攻击,但研究人员警告说,另一个有效负载可能会利用同样的漏洞攻击目标Mac系统。
所有版本的Firefox都会受到影响,但好消息是Mozilla已经在其软件中解决了这个问题。因此,建议用户将浏览器更新至Firefox 39.0.3 以防止该漏洞。企业用户可以打38.1.1补丁。
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
