近日，國(guó)家信息安全漏洞庫(kù)(CNNVD)收到北京長(zhǎng)亭科技有限公司(CNNVD　技術(shù)支撐單位)關(guān)于火狐瀏覽器(Mozilla Firefox)數(shù)字錯(cuò)誤漏洞(CNNVD-201703-910)情況的報(bào)送。由于攻擊者可利用該漏洞執(zhí)行任意代碼，危害程度較高，且該瀏覽器用戶數(shù)量眾多，漏洞影響范圍較廣，國(guó)家信息安全漏洞庫(kù)(CNNVD)對(duì)此進(jìn)行了跟蹤分析，情況如下：

一、漏洞簡(jiǎn)介Mozilla Firefox和Firefox ESR是美國(guó)Mozilla基金會(huì)開(kāi)發(fā)的瀏覽器產(chǎn)品。Firefox是一款開(kāi)源Web瀏覽器;Firefox ESR是Firefox的一個(gè)延長(zhǎng)支持版本。

Mozilla Firefox 49.0至52.0版本和Firefox ESR49.0至52.0版本中存在整數(shù)溢出漏洞(CNNVD-201703-910，CVE-2017-5428)。該漏洞由于createImageBitmap函數(shù)沒(méi)有對(duì)傳入的整數(shù)進(jìn)行邊界檢查，導(dǎo)致遠(yuǎn)程攻擊者可通過(guò)構(gòu)造的惡意頁(yè)面利用該漏洞執(zhí)行任意代碼。

二、漏洞危害1、遠(yuǎn)程攻擊者可通過(guò)構(gòu)造的惡意頁(yè)面利用該漏洞，誘使用戶點(diǎn)擊惡意鏈接使用火狐瀏覽器加載并執(zhí)行惡意代碼，從而在用戶主機(jī)上執(zhí)行任意命令。

2、50.0以下版本的火狐瀏覽器未啟用沙箱保護(hù)機(jī)制，遠(yuǎn)程攻擊者僅利用該漏洞即可執(zhí)行任意代碼。

3、對(duì)于50.0及以上版本的火狐瀏覽器，遠(yuǎn)程攻擊者需同時(shí)利用該漏洞與沙箱繞過(guò)漏洞來(lái)執(zhí)行任意代碼。

三、修復(fù)措施目前，火狐瀏覽器官方已針對(duì)該漏洞發(fā)布安全公告。請(qǐng)受影響用戶及時(shí)檢查是否受該漏洞影響。

【升級(jí)修復(fù)】

受影響用戶可升級(jí)至Firefox 52.0.1版本和Firefox ESR 52.0.1版本以消除漏洞影響。

官方公告：https://www.mozilla.org/en-US/security/advisories/mfsa2017-08/

【臨時(shí)緩解】

如用戶不方便升級(jí)，可采取臨時(shí)解決方案：

暫時(shí)禁用Javascript。

在漏洞未修復(fù)前，建議用戶不要點(diǎn)擊不可信鏈接。

本通報(bào)由CNNVD技術(shù)支撐單位——北京長(zhǎng)亭科技有限公司提供支持。

CNNVD將繼續(xù)跟蹤上述漏洞的相關(guān)情況，及時(shí)發(fā)布相關(guān)信息。如有需要，可與CNNVD聯(lián)系。