Русский
English
Français
Deutsch
Español
Italiano
Português
日本語
한국어
Firefox 116 патчей выше
Firefox 116 был выпущен с исправлениями для 14 CVE, включая девять уязвимостей высокой степени серьезности, некоторые из которых могут привести к удаленному выполнению кода или выходу из песочницы.
К
Флипборд
Реддит
Пинтерест
Электронная почта
Во вторник Mozilla объявила о выпуске Firefox 116, Firefox ESR 115.1 и Firefox ESR 102.14, которые включают исправления для множества уязвимостей высокой степени опасности.
Производитель браузера перечисляет в своем сообщении в общей сложности 14 CVE, девять из которых имеют уровень «высокой серьезности». Три из CVE относятся к ошибкам безопасности памяти в Firefox.
Первая из уязвимостей высокой степени серьезности, отмеченная как CVE-2023-4045, описывается как обход ограничений перекрестного происхождения в Offscreen Canvas, который не смог должным образом отследить порчу перекрестного происхождения.
Эта проблема может позволить веб-страницам просматривать изображения, отображаемые на странице с другого сайта, отмечает Sophos в анализе обновления. Браузеры включают политику одного и того же происхождения, которая запрещает коду HTML и JavaScript, созданному на веб-сайте, доступ к контенту на других сайтах.
Вторая серьезная проблема, которую исправляет Firefox 116, — это CVE-2023-4046, которая описывается как использование неправильного значения во время компиляции WASM.
«В некоторых случаях устаревшее значение могло быть использовано для глобальной переменной в JIT-анализе WASM. Это привело к неправильной компиляции и потенциально опасному сбою в процессе создания контента», — отмечает Mozilla.
Обновление браузера также устраняет CVE-2023-4047, обход запроса разрешения посредством кликджекинга. Страница может обманным путем заставить пользователей нажать на тщательно размещенный элемент, но вместо этого зарегистрировать ввод как щелчок по диалоговому окну безопасности, которое не отображается пользователю.
«Потенциально рискованные разрешения, такие как доступ к вашему местоположению, отправка уведомлений, включение микрофона и т. д., не должны предоставляться до тех пор, пока вы не увидите четкое предупреждение от самого браузера и не отреагируете на него», — отмечает Софос.
Три другие уязвимости высокой серьезности, которые устраняет Firefox 116, включают CVE-2023-4048 (ошибка чтения за пределами допустимого диапазона, приводящая к сбою DOMParser при деконструкции созданного HTML-файла), CVE-2023-4049 (условия гонки, приводящие к потенциально опасному для использования уязвимости use-after-free) и CVE-2023-4050 (переполнение буфера стека в StorageManager потенциально может привести к выходу из песочницы).
Ошибки безопасности памяти, исправленные в Firefox 116, отмеченные как CVE-2023-4056, CVE-2023-4057 и CVE-2023-4058, могли привести к выполнению произвольного кода.
По словам Mozilla, большинство этих серьезных проблем также влияют на расширенную поддержку Firefox и Thunderbird и были решены в Firefox ESR 115.1, Firefox ESR 102.14, Thunderbird 115.1 и Thunderbird 102.14.
Mozilla не упоминает ни о какой из этих уязвимостей, используемых в атаках.
Связанный:Firefox 115 исправляет серьезные уязвимости, требующие использования после освобождения
Связанный:Mozilla исправляет серьезные уязвимости в выпуске Firefox 111
Связанный:Firefox обновил патч 10 уязвимостей высокой степени серьезности
Йонут Аргире — международный корреспондент SecurityWeek.
Подпишитесь на брифинг по электронной почте SecurityWeek, чтобы быть в курсе последних угроз, тенденций и технологий, а также получать полезные колонки от экспертов отрасли.
Присоединяйтесь к экспертам по безопасности, которые обсуждают неиспользованный потенциал ZTNA как по снижению киберрисков, так и по расширению возможностей бизнеса.
Присоединяйтесь к вебинару Microsoft и Finite State, на котором будет представлена новая стратегия обеспечения безопасности цепочки поставок программного обеспечения.
Обдумывание хорошего, плохого и безобразного сейчас — это процесс, который дает нам «негативный фокус для выживания, но позитивный для процветания». (Марк Соломон)
Обмен информацией об угрозах и сотрудничество с другими группами по анализу угроз помогает усилить защиту клиентов и повышает эффективность сектора кибербезопасности в целом. (Дерек Мэнки)