Mozilla 基金会在5月14日推出了 Firefox火狐浏览器 126 版本，官方在更新信息中提到该版本主要修复了浏览器内置的 PDF 组件中一项高风险漏洞 CVE-2024-4367。

　　据悉，这项“CVE-2024-4367”代码执行漏洞由安全公司 Codean Labs 通报，CVSS v3 评分为7.5，由于此前 Firefox浏览器在处理PDF字体时缺乏“类型检查”，给予黑客“可乘之机”，允许黑客利用特制的PDF文件执行恶意 JavaScript 代码。

　　获悉，火狐浏览器内置的PDF.js 主要通过字体渲染工具将 TrueType 等现代格式的字体字符转换为矢量图像，为了提升运行效率，开发者会为每个字体预先编译路径生成器，但研究人员发现黑客可以通过特定参数触发 PDF.js 漏洞，允许浏览器在读取特定PDF文件时自动执行恶意JavaScript 代码，从而导致受害者设备在毫不知情的情况下被入侵。