Mozilla 修复Firefox 漏洞,可导致RCE和沙箱逃逸
2023-12-22 17:20:6 Author: mp.weixin.qq.com(查看原文) 阅读量:7 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

本周二,Mozilla 发布 Firefox 和 Thunderbird 安全更新,修复了20个漏洞,其中包括多个内存安全漏洞。

Firefox 121 修复了18个漏洞,其中5个是高危漏洞。其中最严重的是CVE-2023-6856,它位于用于渲染浏览器内交互式图形的WebGL 中的堆缓冲区溢出漏洞。Mozilla 在安全公告中提到,“在系统上与 Mesa VM 驱动使用时,WebGL DrawElementsInstanced 方法易受堆缓冲溢出漏洞影响。该漏洞可导致攻击者进行远程代码执行和沙箱逃逸。”

其次严重性最高的是CVE-2023-6135,与渲染易受 Minerva 侧信道攻击的网络安全服务 (NSS) NIST 曲线有关。该漏洞可导致攻击者恢复长期密钥。

Mozilla 还修复了 CVE-2023-6865,它可能暴露 EncryptingOutputStream 中的未初始化数据,而这些数据可用于将数据写入本地磁盘,从而可能影响私密浏览模式。

Firefox 121 版本还修复了多个内存安全漏洞,它们的编号是CVE-2023-6873和CVE-2023-6864,第二个漏洞还影响 Firefox ESR 和 Thunderbird。Firefox 121 还修复了8个中危漏洞,包括堆缓冲溢出、释放后使用和沙箱逃逸漏洞。余下的5个漏洞被评级为低危。

本周二,Mozilla 还发布了 Thunderbird 115.6,修复了11个漏洞,其中9个也在 Firefox 中得到解决。余下的2个漏洞都是高危漏洞,可导致攻击者欺骗邮件消息 (CVE-2023-50762) 或欺骗消息发送的时间 (CVE-2023-50761)。

Firefox ESR 115.6 也在周二发布,旧版本中的11个漏洞也在 Firefox 121 中修复。

Mozilla 并未提到这些漏洞是否已遭利用。Mozilla 公司在安全公告中还发布了其它相关信息。

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

补丁星期二:微软、Adobe和Firefox纷纷修复已遭利用的 0day 漏洞

Mozilla 修复Firefox 浏览器的多个高危漏洞

VEGA Stealer恶意软件窃取 Chrome 和 Firefox 浏览器信息

Firefox 58 默认阻止在线追踪 拦截Canvas浏览器指纹

原文链接

https://www.securityweek.com/mozilla-patches-firefox-vulnerability-allowing-remote-code-execution-sandbox-escape/

题图:Pexels License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247518467&idx=2&sn=a4b556d25e18fde4859318143fe831f9&chksm=ea94b869dde3317f0c3e37352a2db057bc26f539dfef7de56f39049b1a8ae269888c76c12e48&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh