火狐修复PDF组件漏洞，修复多款25年历史Bug

据报道，Mozilla基金会于5月14日发布Firefox火狐浏览器126版。此版本主要解决了PDF组件（PDF.js）中的高风险漏洞CVE-2024-4367。

报告显示，这个代码执行漏洞由CodeanLabs发现并通知Mozilla，CVSSv3评分达到7.5分。缘因是Firefox在处理PDF字体时未进行“类型检查”，给了黑客可乘之机，使其能利用特殊PDF文件执行恶意JavaScript代码。

Firefox内置的PDF.js主要用于将TrueType等现代字体字符转为矢量图像。为了提高性能，开发者会预编译每个字体的路径生成器。

然而，研究人员发现黑客可利用特定参数触发PDF.js漏洞，使得浏览器在读取特定PDF文件时自动执行恶意JavaScript代码，进而在用户毫无察觉的情况下入侵设备。

除修复CVE-2024-4367漏洞外，Mozilla基金会近期还致力于修复Firefox浏览器中的多个“25年历史遗留Bug”。