Разработчик из Mozilla обнаружил в Firefox серьезную брешь, использование которой открывает возможность для удаленного выполнения произвольного кода. Патч для данной уязвимости включен в состав Firefox 58.0.1 — новой сборки браузера, вышедшей в понедельник.

Согласно бюллетеню Cisco, баг CVE-2018-5124, оцененный в 8,8 балла по шкале CVSS, возник из-за «неадекватной санации фрагментов HTML в документах, защищенных оболочкой пользовательского интерфейса (chrome)». Mozilla в своем бюллетене обозначила эту проблему как «отсутствие санации выходных данных в пользовательском интерфейсе браузера».

По свидетельству Cisco, эксплойт возможен, если пользователя удастся убедить пройти по вредоносной ссылке или открыть вредоносный файл. В случае успеха автор атаки сможет выполнить произвольный код с правами текущего пользователя.

Данная уязвимость присутствует в Firefox 56, 57 и 58.0; Firefox для Android и Firefox 52 ESR ей не подвержены.

Комментируя новую брешь в баг-трекере Mozilla, программист Крис Мальоне (Kris Maglione) пояснил, что при подготовке патча было принято решение попросту обеспечить санирование всех фрагментов HTML/XML, создаваемых для chrome-документа.  Однако это лишь позволило по возможности снизить риски; в идеале в этом случае следовало бы ввести блокировку всех inline-скриптов.

«Риск XSS в chrome-документах намного выше, чем в веб-контенте, — пишет Мальоне. — К сожалению, в настоящее время мы полагаемся на огромное количество встроенных JavaScript в статических XUL-документах, поэтому решить такую задачу коротким путем практически невозможно».

В итоге более полное решение данной проблемы, как стало известно The Register, было отложено до выпуска Firefox 60.

Категории: Уязвимости