查看原文
其他

Mozilla 修复Firefox 漏洞,可导致RCE和沙箱逃逸

Ionut Arghire 代码卫士 2024-07-14

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士


本周二,Mozilla 发布 Firefox 和 Thunderbird 安全更新,修复了20个漏洞,其中包括多个内存安全漏洞。

Firefox 121 修复了18个漏洞,其中5个是高危漏洞。其中最严重的是CVE-2023-6856,它位于用于渲染浏览器内交互式图形的WebGL 中的堆缓冲区溢出漏洞。Mozilla 在安全公告中提到,“在系统上与 Mesa VM 驱动使用时,WebGL DrawElementsInstanced 方法易受堆缓冲溢出漏洞影响。该漏洞可导致攻击者进行远程代码执行和沙箱逃逸。”

其次严重性最高的是CVE-2023-6135,与渲染易受 Minerva 侧信道攻击的网络安全服务 (NSS) NIST 曲线有关。该漏洞可导致攻击者恢复长期密钥。

Mozilla 还修复了 CVE-2023-6865,它可能暴露 EncryptingOutputStream 中的未初始化数据,而这些数据可用于将数据写入本地磁盘,从而可能影响私密浏览模式。

Firefox 121 版本还修复了多个内存安全漏洞,它们的编号是CVE-2023-6873和CVE-2023-6864,第二个漏洞还影响 Firefox ESR 和 Thunderbird。Firefox 121 还修复了8个中危漏洞,包括堆缓冲溢出、释放后使用和沙箱逃逸漏洞。余下的5个漏洞被评级为低危。

本周二,Mozilla 还发布了 Thunderbird 115.6,修复了11个漏洞,其中9个也在 Firefox 中得到解决。余下的2个漏洞都是高危漏洞,可导致攻击者欺骗邮件消息 (CVE-2023-50762) 或欺骗消息发送的时间 (CVE-2023-50761)。

Firefox ESR 115.6 也在周二发布,旧版本中的11个漏洞也在 Firefox 121 中修复。

Mozilla 并未提到这些漏洞是否已遭利用。Mozilla 公司在安全公告中还发布了其它相关信息。



代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com









推荐阅读

补丁星期二:微软、Adobe和Firefox纷纷修复已遭利用的 0day 漏洞

Mozilla 修复Firefox 浏览器的多个高危漏洞

VEGA Stealer恶意软件窃取 Chrome 和 Firefox 浏览器信息

Firefox 58 默认阻止在线追踪 拦截Canvas浏览器指纹



原文链接

https://www.securityweek.com/mozilla-patches-firefox-vulnerability-allowing-remote-code-execution-sandbox-escape/


题图:Pexels License


本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

继续滑动看下一个
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存