Firefox擴充程式也淪陷,Image Previewer遭爆攜帶挖礦程式
迄今傳出的挖礦綁架(cryptojacking)擴充程式都是衝著市佔率最高的Chrome瀏覽器而來,然而,資安媒體BleepingComputer本周發現了一款名為Image Previewer的Firefox擴充程式可將挖礦程式注入瀏覽器中,盜用使用者的CPU資源來挖掘門羅幣(Monero),它很可能是Firefox上所出現首款挖擴綁架擴充程式,幸好並非出現在Firefox的官方擴充程式市集中。
根據報導,利用許多網站散布的Image Previewer偽裝成手動的Firefox更新,一但使用者接受更新,它就會進駐到系統上的Firefox,並載入挖礦程式。
該挖礦程式的設定是利用50%的CPU資源來挖礦,只要開啟Firefox它就會自動執行,只有關閉Firefox或移除該擴充程式才能阻止它。
BleepingComputer則建議使用者不要自外部網站安裝瀏覽器擴充程式,同時利用防毒軟體與廣告封鎖程式來攔截不請自來的挖礦程式。
Firefox爆遠端程式碼執行重大漏洞
Mozilla周三發出安全公告揭露Firefox 56到58版存在一個能讓未經驗證的遠端攻擊者在受害系統上執行程式碼的漏洞。Mozilla已經釋出更新版Firefox解決問題。
這項編號為CVE-2018-5124的漏洞是由Mozilla研究人員Johann Hofmann通報,它存在於Firefox瀏覽器中一個名為「Chrome」的UI元件,後者包含瀏覽器功能列、狀態列、視窗名稱列、工具列或由外掛程式建立的其他UI元件。
Chrome元件不會與網頁程式碼切開,因此針對UI設計的惡意程式碼也能在瀏覽器上執行。根據思科的安全公告,由於Firefox對chrome文件中的HTML片段的消毒(sanitization)不足,使外部惡意指令得以從chrome UI進入瀏覽器及電腦上執行。
利用這項漏洞,攻擊者可以將程式碼誘使用戶點選URL或開啟檔案以發動攻擊。成功的攻擊可讓駭客以使用者權限執行程式碼,如果該用戶具有管理員權限,則駭客就能取得系統層權限執行任何指令。由於程式碼可以藏在iFrame,在神不知鬼不覺情況下下載到電腦中,Mozilla將本漏洞的風險指數列為重大(critical)。
該項漏洞影響版本包括Firefox 56.x、57.x 到58.0.0。Firefox for Android 及Firefox 52 ESR則不受影響。Mozilla已經釋出漏洞修補完成的更新版Firefox 58.0.1,呼籲用戶儘速安裝。思科則提醒用戶不要隨意開啟來路不明的網頁連結或檔案。
