Mozilla 修复Firefox 浏览器的多个高危漏洞
编译:代码卫士
在这13个CVE漏洞中,7个为“高危”级别,3个仅影响安卓版本的Firefox浏览器,可导致黑客隐藏全屏通知,从而导致用户混淆或欺骗攻击,并在无需提示的情况下打开第三方应用。其它高危漏洞可导致任意代码执行和信息泄露后果。
Sophos 公司分析了这些补丁并着重强调了两个漏洞CVE-2023-28161和CVE-2023-28163。
CVE-2023-28161:本地文件的一次性权限被扩展到在同样标签下加载的其它本地文件中。如果用户打开本地文件(如下载的HTML内容)想要访问网络摄像头,则用户之后打开的任何其它本地文件都会继承该访问权限而无需询问。Mozilla提到,如果用户通过下载目录中的项目集合查看则会导致问题出现:用户所看到的权限提醒将取决于打开文件的次序。
CVE-2023-28163:Windows“另存为”对话解析了环境变量,这是对清理输入的重要提醒。在Windows命令中,某些字符序列被专门处理如 %USERNAME% (被转换为当前已登录用户的名称)或 %PUBLIC%(表明为共享目录,通常位于C:\Users中)。恶意网站将借此诱骗用户查看并批准下载看似无害但实际上落到预期之外目录中的文件名称。
位于加拿大和美国的网络安全机构已将补丁告知用户,督促用户阅读安全公告并应用必要补丁。
虽然Firefox漏洞不像Chrome漏洞那样易遭攻击,但用户不应忽略潜在风险。在过去的十年中,CISA的已知利用漏洞列表中收录了10个Firefox漏洞。另外,Mozilla在本周还宣布用户将直接可在Firefox中使用Firefox Relay邮件和电话号码掩藏工具。
https://www.securityweek.com/mozilla-patches-high-severity-vulnerabilities-with-release-of-firefox-111/
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。