Mozilla 修补 Firefox 漏洞，允许远程执行代码、沙箱逃逸

Mozilla 周二宣布了 Firefox 和 Thunderbird 的安全更新，以解决 20 个漏洞，其中包括多个内存安全问题。

Firefox 121 发布了 18 个漏洞的补丁，其中 5 个漏洞的危险程度程度为 “高”。

排在首位的是 CVE-2023-6856，这是 WebGL 中的堆缓冲区溢出错误，WebGL 是用于在浏览器中渲染交互式图形的 JavaScript API。

“在具有 Mesa VM 驱动程序的系统上使用时，WebGL DrawElementsInstanced 方法容易受到堆缓冲区溢出的影响。这个问题可能允许黑客执行远程代码执行和沙箱逃逸，”Mozilla 在其公告中解释道。

接下来是 CVE-2023-6135，该问题使得网络安全服务 (NSS) NIST 曲线容易受到 Minerva 侧通道攻击，这可能允许对手恢复长期私钥。

Mozilla 还解决了 CVE-2023-6865，该错误可能会暴露 EncryptingOutputStream 中未初始化的数据，该错误可被利用将数据写入本地磁盘，从而可能影响隐私浏览模式。

最新的 Firefox 迭代还解决了多个内存安全问题，这些问题统称为 CVE-2023-6873 和 CVE-2023-6864。后者还会影响 Firefox ESR 和 Thunderbird。

Firefox 121 还解决了八个中等危险漏洞，包括堆缓冲区溢出、释放后使用和沙箱逃逸问题。其余五个错误的危险程度程度被评为 “低”。

周二，Mozilla 宣布发布 Thunderbird 115.6，其中包含 11 个漏洞的补丁，其中 9 个漏洞也已在 Firefox 中得到解决。

其中两个都是高危漏洞，可能允许黑客欺骗电子邮件消息 (CVE-2023-50762)，或欺骗消息发送时间 (CVE-2023-50761)。

Firefox ESR 115.6 也在周二发布，其中包含 Firefox 121 解决的 11 个安全缺陷的补丁。

Mozilla 没有提及任何这些漏洞在攻击中被利用。更多信息可以在 Mozilla 的安全公告页面上找到。

封面来源于网络，如有侵权请联系删除