Mozilla je u utorak objavila da je izdana verzija Mozilla Firefox 115 za stabilni kanal, koja sadrži zakrpe za desetak ranjivosti, uključujući i dva visokorizična propusta “use-after-free”.
Prvi propust visokog rizika, označen kao CVE-2023-37201, opisan je kao greška “use-after-free” u generiranju WebRTC certifikata.
WebRTC je otvoreni projekt koji omogućuje komunikaciju u stvarnom vremenu u web preglednicima i mobilnim aplikacijama putem programskih sučelja (API-ja).
“Napadač bi mogao izazvati stanje ‘use-after-free’ pri stvaranju WebRTC veze putem HTTPS-a”, objašnjava Mozilla u upozorenju.
Druga visokorizična ranjivost, CVE-2023-37202, opisana je kao potencijalni propust “use-after-free” koji proizlazi iz neslaganja odjeljaka u otvorenom JavaScript i WebAssembly engineu SpiderMonkey.
“Omotavanje preko odjeljaka koje zamataju skriptirani proxy moglo je uzrokovati pohranjivanje objekata iz drugih odjeljaka u glavni odjeljak, što bi rezultiralo ‘use-after-free’ situacijom”, objašnjavaju iz Mozille.
Proizvođač popularnog web preglednika navodi da najnovija nadogradnja Firefoxa također rješava ranjivosti “memory safety” visokog rizika koje bi mogle dovesti do izvršavanja proizvoljnog koda. Propusti se zajednički prate pod oznakama CVE-2023-37211 i CVE-2023-37212.
Firefox 115 također uključuje zakrpe za osam ranjivosti srednjeg rizika koje su omogućile zlonamjernim web stranicama postavljanje pratilaca bez odobrenja, izvršavanje proizvoljnog koda, izvođenje “spoofing” i “URL spoofing” napada, preuzimanje datoteka koje sadrže zlonamjeran kod, “use-after-free” stanje i prijevaru korisnika kako bi predali osjetljive podatke zlonamjernim web stranicama.
Ovaj tjedan je Mozilla objavila da su izdane verzije Firefox ESR 102.13 i Thunderbird 102.13 s zakrpama za pet ranjivosti, uključujući visokorizične propuste “use-after-free” i “memory safety” koje su potpuno riješene u Firefoxu 115.
Dodatne informacije o riješenim ranjivostima mogu se pronaći na stranici sigurnosnih obavijesti Mozille.
