火狐修復(fù)PDF組件漏洞，修復(fù)多款25年歷史Bug

據(jù)報(bào)道，Mozilla基金會(huì)于5月14日發(fā)布Firefox火狐瀏覽器126版。此版本主要解決了PDF組件（PDF.js）中的高風(fēng)險(xiǎn)漏洞CVE-2024-4367。

報(bào)告顯示，這個(gè)代碼執(zhí)行漏洞由CodeanLabs發(fā)現(xiàn)并通知Mozilla，CVSSv3評(píng)分達(dá)到7.5分。緣因是Firefox在處理PDF字體時(shí)未進(jìn)行“類(lèi)型檢查”，給了黑客可乘之機(jī)，使其能利用特殊PDF文件執(zhí)行惡意JavaScript代碼。

Firefox內(nèi)置的PDF.js主要用于將TrueType等現(xiàn)代字體字符轉(zhuǎn)為矢量圖像。為了提高性能，開(kāi)發(fā)者會(huì)預(yù)編譯每個(gè)字體的路徑生成器。

然而，研究人員發(fā)現(xiàn)黑客可利用特定參數(shù)觸發(fā)PDF.js漏洞，使得瀏覽器在讀取特定PDF文件時(shí)自動(dòng)執(zhí)行惡意JavaScript代碼，進(jìn)而在用戶毫無(wú)察覺(jué)的情況下入侵設(shè)備。

除修復(fù)CVE-2024-4367漏洞外，Mozilla基金會(huì)近期還致力于修復(fù)Firefox瀏覽器中的多個(gè)“25年歷史遺留Bug”。