MozillaはFirefox Webブラウザの重要なアップデートをリリースし、攻撃者がブラウザの脆弱なバージョンを実行しているコンピュータで悪意のあるコードをリモートで実行できるようにする重大な脆弱性を修正しました。
重大な脆弱性(CVE-2018-5124)は、準備されたHTMLフラグメントを特定の方法で開くと、システムでコードが実行される可能性があり、追加のインターフェイスコントロール属性を使用します。 この脆弱性の本質は、これらの要素を介したJavaScriptコードのインライン置換の可能性です。これらの要素は特権レベルで実行され、ブラウザーインターフェースの形成を担当します(クロム特権)。
「この脆弱性の不正利用に成功すると、攻撃者はユーザー特権で任意のコードを実行できる可能性があります。 ユーザーが昇格した特権を持っている場合、攻撃者はシステムを完全に侵害する可能性があります」とシスコのセキュリティ推奨事項は述べています。攻撃者は、プログラムのインストール、完全なユーザー権限を持つ新しいアカウントの作成、データの表示、変更、削除を行うことができます。
ただし、ブラウザーがシステム内のより少ないユーザー権限で構成されている場合、この脆弱性を使用してもユーザーのセキュリティへの悪影響が少なくなる可能性があります。
ブラウザーの脆弱なバージョンには、Firefox 56(.0、.0.1、.0.2)、57(.0、.0.1、.0.2、.0.3、.0.4)および58(.0)が含まれます。 この脆弱性はFirefox 58.0.1で修正され、会社の公式Webサイトからダウンロードできます。
Mozilla Johann Hofmannによって発見されたCVE-2018-5124は、AndroidおよびFirefox 52 ESRのFirefoxブラウザバージョンには影響しません。
ハッカーがこの機能を使用する前にソフトウェアの更新を適用することをお勧めします。疑わしいソースから受信した場合、電子メールまたはメッセージのリンクを開かないでください。
また、システム管理者は、インターネットを閲覧するときに特権のないアカウントを使用することをお勧めします。
Firefoxクォンタム
このアップデートは、同社が新しいFirefox Quantumブラウザ(Firefox 58)をリリースしてから1週間後に準備されました。 Firefox 58.0は過去2か月間に開発されました。 この間に、Mozillaエンジニアは、WebAssemblyのパフォーマンスを改善するために設計されたストリーミングコンパイルと新しい2層コンパイラを追加しました。 さらに、Firefoxは銀行カードの詳細の詳細を自動的に入力するようになり、MacOSユーザー向けにWebVRのサポートが追加されました。
他の改善点としては、JavaScriptの内部表現のためのキャッシュ手法の実装によるページ読み込み速度の最適化と、オフメインスレッドペインティングテクノロジーの統合によるWindowsでのWebページのレンダリングの高速化があります。
Firefox 58は、デフォルトでセキュリティパッチが同梱された最初のブラウザリリースであり、MeltdownおよびSpectre攻撃のリスクを軽減しました。 ただし、古いプロセッサを搭載したシステムでは問題が発生する場合があります。
PS
プロセッサの脆弱性について話しているので、AV-TESTの研究者がこれまでにMeltdownとSpecterを悪用する試みに関連する少なくとも139個のマルウェアサンプルを発見したことは注目に値します。 このタイプの検出されたウイルスの数の増加は、グラフの下に示されており、攻撃者がこの方向で積極的に作業していることを示しています。
リンクから、すべてのマルウェアサンプルのSHA256ハッシュを見つけることができます。