5月28日消息,Mozilla基金会于5月14日发布了Firefox火狐浏览器的最新126版本更新。此次更新的重点在于解决了一个存在于PDF阅读器组件(PDF.js)内的重大安全问题,该漏洞被标记为CVE-2024-4367。
Mozilla强调,此漏洞的修补对于提升用户在处理PDF文件时的安全性至关重要,有效防止了可能的恶意脚本攻击,确保了网络环境的进一步安全稳定。
据悉,这项“CVE-2024-4367” 代码执行漏洞由安全公司 Codean Labs 通报,CVSS v3 评分为 7.5,由于此前 Firefox 浏览器在处理 PDF 字体时缺乏“类型检查”,给予黑客“可乘之机”,允许黑客利用特制的 PDF 文件执行恶意 JavaScript 代码。
火狐浏览器内置的 PDF.js 主要通过字体渲染工具将 TrueType 等现代格式的字体字符转换为矢量图像,为了提升运行效率,开发者会为每个字体预先编译路径生成器,但研究人员发现黑客可以通过特定参数触发 PDF.js 漏洞,允许浏览器在读取特定 PDF 文件时自动执行恶意 JavaScript 代码,从而导致受害者设备在毫不知情的情况下被入侵。
除了修复“CVE-2024-4367”漏洞外,Mozilla 基金会最近还在修复 Firefox 浏览器中多款“25 年前的 Bug”。
文明上网,理性发言,共同做网络文明传播者