Firefox 116 修补高严重性漏洞

Mozilla 周二宣布发布 Firefox 116、Firefox ESR 115.1 和 Firefox ESR 102.14，其中包括针对多个高严重性漏洞的补丁。

该浏览器制造商在其公告中总共列出了 14 个 CVE ，其中 9 个被评为“高严重性”。其中三个 CVE 涉及 Firefox 中的内存安全错误。

第一个高严重性缺陷被追踪为 CVE-2023-4045，被描述为 Offscreen Canvas 中的跨源限制绕过，无法正确跟踪跨源污染。

Sophos 在更新分析中指出，该问题可能允许网页查看来自不同站点的页面中显示的图像。浏览器包含同源策略，可防止某个网站上的 HTML 和 JavaScript 代码访问其他网站上的内容。

Firefox 116 修补的第二个高严重性问题是 CVE-2023-4046，该问题被描述为在 WASM 编译期间使用了不正确的值。

“在某些情况下，过时的值可能会用于 WASM JIT 分析中的全局变量。这导致了内容处理中的错误编译和可能被利用的崩溃。”Mozilla 指出。

浏览器更新还解决了 CVE-2023-4047，这是通过点击劫持绕过权限请求的问题。页面可能会诱骗用户单击精心放置的项目，而是将输入注册为对未向用户显示的安全对话框的单击。

Sophos 指出：“在您看到浏览器本身发出的明确警告并采取行动之前，不应授予有潜在风险的权限，例如访问您的位置、发送通知、激活麦克风等。”

Firefox 116 解决的其他三个高严重性漏洞包括 CVE-2023-4048（越界读取缺陷，导致 DOMParser 在解构精心设计的 HTML 文件时崩溃）、CVE-2023-4049（竞争条件导致潜在的可利用漏洞） use-after-free 漏洞）和 CVE-2023-4050（StorageManager 中的堆栈缓冲区溢出可能导致沙箱逃逸）。

Firefox 116 中解决的内存安全错误（编号为 CVE-2023-4056、CVE-2023-4057 和 CVE-2023-4058）可能导致任意代码执行。

Mozilla 表示，大多数高严重性问题也会影响 Firefox 扩展支持和 Thunderbird，并在 Firefox ESR 115.1、Firefox ESR 102.14、Thunderbird 115.1 和 Thunderbird 102.14 中得到解决。

Mozilla 没有提及任何这些漏洞在攻击中被利用。

原文始发于微信公众号（河南等级保护测评）：Firefox 116 修补高严重性漏洞