Firefox 火狐瀏覽器 126 版更新修復(fù) PDF.js 高危漏洞，允許黑客利用特定文件執(zhí)行惡意 JS 代碼

IT之家 5 月 28 日消息，Mozilla 基金會(huì)在 5 月 14 日推出了 Firefox 火狐瀏覽器 126 版本，官方在更新信息中提到該版本主要修復(fù)了瀏覽器內(nèi)置的 PDF 組件（PDF.js）中一項(xiàng)高風(fēng)險(xiǎn)漏洞 CVE-2024-4367。

據(jù)悉，這項(xiàng)“CVE-2024-4367” 代碼執(zhí)行漏洞由安全公司 Codean Labs 通報(bào)，CVSS v3 評(píng)分為 7.5，由于此前 Firefox 瀏覽器在處理 PDF 字體時(shí)缺乏“類型檢查”，給予黑客“可乘之機(jī)”，允許黑客利用特制的 PDF 文件執(zhí)行惡意 JavaScript 代碼。

IT之家獲悉，火狐瀏覽器內(nèi)置的 PDF.js 主要通過字體渲染工具將 TrueType 等現(xiàn)代格式的字體字符轉(zhuǎn)換為矢量圖像，為了提升運(yùn)行效率，開發(fā)者會(huì)為每個(gè)字體預(yù)先編譯路徑生成器，但研究人員發(fā)現(xiàn)黑客可以通過特定參數(shù)觸發(fā) PDF.js 漏洞，允許瀏覽器在讀取特定 PDF 文件時(shí)自動(dòng)執(zhí)行惡意 JavaScript 代碼，從而導(dǎo)致受害者設(shè)備在毫不知情的情況下被入侵。

除了修復(fù)“CVE-2024-4367”漏洞外，Mozilla 基金會(huì)最近還在修復(fù) Firefox 瀏覽器中多款“25 年前的 Bug”，感興趣的IT之家小伙伴可以點(diǎn)此查看更多信息。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。