Mozilla 修补 Firefox 漏洞,允许远程执行代码、沙箱逃逸
2023-12-21 14:50:33 Author: hackernews.cc(查看原文) 阅读量:18 收藏

Mozilla 周二宣布了 Firefox 和 Thunderbird 的安全更新,以解决 20 个漏洞,其中包括多个内存安全问题。

Firefox 121 发布了 18 个漏洞的补丁,其中 5 个漏洞的危险程度程度为 “高”。

排在首位的是 CVE-2023-6856,这是 WebGL 中的堆缓冲区溢出错误,WebGL 是用于在浏览器中渲染交互式图形的 JavaScript API。

“在具有 Mesa VM 驱动程序的系统上使用时,WebGL DrawElementsInstanced 方法容易受到堆缓冲区溢出的影响。这个问题可能允许黑客执行远程代码执行和沙箱逃逸,”Mozilla 在其公告中解释道。

接下来是 CVE-2023-6135,该问题使得网络安全服务 (NSS) NIST 曲线容易受到 Minerva 侧通道攻击,这可能允许对手恢复长期私钥。

Mozilla 还解决了 CVE-2023-6865,该错误可能会暴露 EncryptingOutputStream 中未初始化的数据,该错误可被利用将数据写入本地磁盘,从而可能影响隐私浏览模式。

最新的 Firefox 迭代还解决了多个内存安全问题,这些问题统称为 CVE-2023-6873 和 CVE-2023-6864。后者还会影响 Firefox ESR 和 Thunderbird。

Firefox 121 还解决了八个中等危险漏洞,包括堆缓冲区溢出、释放后使用和沙箱逃逸问题。其余五个错误的危险程度程度被评为 “低”。

周二,Mozilla 宣布发布 Thunderbird 115.6,其中包含 11 个漏洞的补丁,其中 9 个漏洞也已在 Firefox 中得到解决。

其中两个都是高危漏洞,可能允许黑客欺骗电子邮件消息 (CVE-2023-50762),或欺骗消息发送时间 (CVE-2023-50761)。

Firefox ESR 115.6 也在周二发布,其中包含 Firefox 121 解决的 11 个安全缺陷的补丁。

Mozilla 没有提及任何这些漏洞在攻击中被利用。更多信息可以在 Mozilla 的安全公告页面上找到。



转自安全客,原文链接:https://www.anquanke.com/post/id/292079

封面来源于网络,如有侵权请联系删除


文章来源: https://hackernews.cc/archives/48346
如有侵权请联系:admin#unsafe.sh