Η Mozilla ανακοίνωσε αυτή την εβδομάδα την κυκλοφορία του Firefox 110 και του Firefox ESR 102.8 με ενημερώσεις κώδικα για 10 ευπάθειες υψηλής σοβαρότητας.
Το πρώτο από τα ελαττώματα ασφαλείας CVE-2023-25728 θα μπορούσε να επιτρέψει τον εισβολέα να μπορεί να διαρρεύσει το μη διορθωμένο URI ενός θυγατρικού iframe, υπό την προϋπόθεση ότι ενεργοποιείται μια ανακατεύθυνση κατά την αλληλεπίδραση με αυτό το iframe.
Οι τελευταίες εκδόσεις του Firefox επιλύουν επίσης ένα ελάττωμα που σχετίζεται με την πειρατεία οθόνης μέσω της λειτουργίας πλήρους οθόνης του προγράμματος περιήγησης. Το πρόβλημα CVE-2023-25730 υπάρχει επειδή ένα σενάριο φόντου θα μπορούσε να ενεργοποιήσει τη λειτουργία πλήρους οθόνης και στη συνέχεια να αποκλείσει το κύριο νήμα για να εξαναγκάσει τη λειτουργία επ’ αόριστον.
Επιτυχής εκμετάλλευση της ευπάθειας, θα μπορούσε να οδηγήσει σε πιθανή σύγχυση χρηστών ή επιθέσεις πλαστογράφησης.
Ο κατασκευαστής του προγράμματος περιήγησης επέλυσε επίσης ένα πρόβλημα στο Firefox Focus, όπου οι ειδοποιήσεις πλήρους οθόνης δεν θα εμφανίζονταν, επιτρέποντας έτσι δυνητικά σε κακόβουλους ιστότοπους να πλαστογραφούν το πρόγραμμα περιήγησης chrome (CVE-2023-25743).
Ένα άλλο ζήτημα που επιλύθηκε αυτήν την εβδομάδα μπορεί να αποτρέψει πια έναν εισβολέα να δημιουργήσει μια δέσμη πιστοποιητικών PKCS 12, έτσι ώστε να επιτρέπει αυθαίρετες εγγραφές στη μνήμη μέσω κακού χειρισμού των χαρακτηριστικών PKCS 12 SafeBag (CVE-2023-0767).
Το ζήτημα CVE-2023-25735 θα ενεργοποιούσε τη κακή χρήση του διακομιστή μεσολάβησης.
Τρία άλλα θέματα ευπάθειας υψηλής σοβαρότητας που επιλύθηκαν αυτή την εβδομάδα θα μπορούσαν να οδηγήσουν σε απροσδιόριστη συμπεριφορά μέσω μη έγκυρης μεταβίβασης (CVE-2023-25737), σφάλματος του Firefox κατά την εκτύπωση σε Windows (CVE-2023-25738) ή ακαθόριστης χρήσης λόγω λείπει έλεγχος σε αποτυχημένα αιτήματα φόρτωσης μονάδας (CVE-2023-25739).
Επιπλέον, η Mozilla ανακοίνωσε ενημερώσεις κώδικα για πολλαπλά σφάλματα ασφάλειας μνήμης που επηρεάζουν το Firefox 109 και το Firefox ESR 102.7, τα οποία παρακολουθούνται συλλογικά ως CVE-2023-25744 και CVE-2023-25745.
Ο Firefox 110 και ο Firefox ESR 102.8 έφτασαν επίσης με ενημερώσεις κώδικα για πολλά τρωτά σημεία μεσαίας και χαμηλής σοβαρότητας.