Mozilla telah melepaskan kemaskini bagi pelayar webnya untuk menampal kerentanan terbaru yang kritikal, yang membolehkan penggodam menjalankan kod hasad dari exploit tersembunyi di dalam kod paparan antaramuka Firefox.

Dalam versi 58.0.1, Mozilla telah memperbaiki lebih dari 30 kerentanan, serta menambah baik enjin grafik dan mengoptimumkan prestasi pelayar.

Exploit tersebut mengambil kesempatan ke atas komponen Chrome UI pada Firefox yang membenarkan pihak ketiga untuk menjalankan perintah pada elemen itu atau pada komputer hos. Elemen-elemen Chrome UI (yang tiada kena mengena dengan Google Chrome) adalah seperti bar menu, toolbar, atau mana-mana elemen paparan antaramuka yang dicipta oleh addon.

Jurutera Mozilla yang berpangkalan di Berlin, Johann Hofmann berkata, komponen tersebut tidak terpisah dari kod yang dijalankan di halaman laman sesawang. Laman sesawang hasad dapat menjalankan kod yang dibuat untuk elemen paparan antaramuka Firefox.

Penggodam kemudian boleh menyembunyikan HTML tanpa kawalan (unsanitized HTML) di dalam kod tersebut yang akan menjalankan perintahnya sendiri tanpa terikat kepada komponen Chrome UI. Kod akan dijalankan dengan kebenaran tahap/peringkat pengguna semasa. Sekiranya komputer sedang berada dalam akaun admin, maka kod itu dijalankan dengan perintah peringkat sistem/administrator.

Untuk semua pengguna, adalah disarankan agar anda mengemaskini versi terbaru Firefox. Versi yang dijangkiti atau terdedah kepada kerentanan ini adalah 56, 57, dan 58. Versi yang anda patut gunakan sekarang ialah 58.0.1.

Kemaskini boleh dimuat turun di pautan ini: Firefox 58.0.1

> Gizmodo