Компания Mozilla выпустила версию браузера Firefox 58.0.1, устраняющую критическую уязвимость, которая позволяет злоумышленнику удаленно выполнить код на компьютере пользователя.
Уязвимость CVE-2018-5124 была обнаружена инженером Mozilla Иоганном Хофманом (Johann Hofmann). По словам специалиста, проблема затрагивает компоненты пользовательского интерфейса (Chrome, не путать с браузером Google Chrome). Под сhrome разработчики подразумевают видимую часть браузера, которая не является непосредственно web-страницей, например, панели инструментов, строки меню, вкладки.
Данные компоненты не изолированы от кода, который выполняется на web-страницах. Как пояснил эксперт, вредоносный web-сайт может запустить код, предназначенный для элементов интерфейса Firefox.
Злоумышленник может скрыть внутри данного кода вредоносный фрагмент HTML, который в свою очередь позволит выполнять команды на компьютере пользователя.
Код работает с привилегиями текущего пользователя. Таким образом, если пользователь использует учетную запись администратора, то код может запускать команды на уровне SYSTEM. Вредоносный код может быть скрыт внутри iframe и загружен за пределами экрана втайне от пользователя.
Как полагают исследователи, хакеры добавят CVE-2018-5124 в свой арсенал в течение следующих нескольких дней, так как это быстрый и простой способ тайно установить вредоносное ПО на компьютеры пользователей.
Компания настоятельно рекомендует пользователям обновить свои браузеры. Уязвимость затрагивает версии Firefox 56.x, 57.x. и 58.0.0. Проблема не распространяется на версии Firefox для Android и Firefox 52 ESR.

Источник: securitylab.ru