Português
English
Français
Deutsch
Español
Italiano
日本語
한국어
Русский
Firefox 116 patches altos
O Firefox 116 foi lançado com patches para 14 CVEs, incluindo nove vulnerabilidades de alta gravidade, algumas das quais podem levar à execução remota de código ou escapes de sandbox.
Por
A Mozilla anunciou na terça-feira o lançamento do Firefox 116, Firefox ESR 115.1 e Firefox ESR 102.14, que incluem patches para múltiplas vulnerabilidades de alta gravidade.
O fabricante do navegador lista um total de 14 CVEs em seu comunicado, nove dos quais são classificados como “alta gravidade”. Três dos CVEs referem-se a bugs de segurança de memória no Firefox.
A primeira das falhas de alta gravidade, rastreada como CVE-2023-4045, é descrita como um desvio de restrições de origem cruzada no Offscreen Canvas, que não conseguiu rastrear adequadamente a contaminação de origem cruzada.
O problema pode permitir que páginas da web visualizem imagens exibidas em uma página de um site diferente, observa a Sophos em uma análise da atualização. Os navegadores incluem uma política de mesma origem que impede que códigos HTML e JavaScript originados em um site acessem conteúdo de outros sites.
O segundo problema de alta gravidade que o Firefox 116 corrige é o CVE-2023-4046, que é descrito como o uso de um valor incorreto durante a compilação WASM.
“Em algumas circunstâncias, um valor obsoleto poderia ter sido usado para uma variável global na análise WASM JIT. Isso resultou em compilação incorreta e uma falha potencialmente explorável no processo de conteúdo”, observa Mozilla.
A atualização do navegador também resolve o CVE-2023-4047, um desvio de solicitação de permissão por meio de clickjacking. Uma página poderia induzir os usuários a clicar em um item cuidadosamente colocado, mas em vez disso registraria a entrada como um clique em uma caixa de diálogo de segurança que não era exibida ao usuário.
“Permissões potencialmente arriscadas, como acessar sua localização, enviar notificações, ativar o microfone e assim por diante, não devem ser concedidas até que você tenha visto e agido de acordo com um aviso claro do próprio navegador”, observa Sophos.
As outras três vulnerabilidades de alta gravidade que o Firefox 116 resolve incluem CVE-2023-4048 (uma falha de leitura fora dos limites que faz com que o DOMParser trave ao desconstruir um arquivo HTML criado), CVE-2023-4049 (condições de corrida que levam a vulnerabilidades potencialmente exploráveis vulnerabilidades de uso após liberação) e CVE-2023-4050 (estouro de buffer de pilha no StorageManager, potencialmente levando a um escape da sandbox).
Rastreados como CVE-2023-4056, CVE-2023-4057 e CVE-2023-4058, os bugs de segurança de memória resolvidos no Firefox 116 podem ter levado à execução arbitrária de código.
A maioria desses problemas de alta gravidade, diz a Mozilla, também afeta o suporte estendido do Firefox e o Thunderbird, e foram resolvidos no Firefox ESR 115.1, Firefox ESR 102.14, Thunderbird 115.1 e Thunderbird 102.14.
A Mozilla não menciona nenhuma dessas vulnerabilidades sendo exploradas em ataques.
Relacionado:Firefox 115 corrige vulnerabilidades de uso após liberação de alta gravidade
Relacionado:Mozilla corrige vulnerabilidades de alta gravidade com o lançamento do Firefox 111
Relacionado:Firefox atualiza vulnerabilidades de alta gravidade do patch 10
Ionut Arghire é correspondente internacional da SecurityWeek.
Inscreva-se no SecurityWeek Email Briefing para se manter informado sobre as últimas ameaças, tendências e tecnologias, juntamente com colunas esclarecedoras de especialistas do setor.
Junte-se a especialistas em segurança enquanto eles discutem o potencial inexplorado da ZTNA para reduzir o risco cibernético e capacitar os negócios.
Junte-se à Microsoft e à Finite State para um webinar que apresentará uma nova estratégia para proteger a cadeia de fornecimento de software.
Pensar no que é bom, no que é ruim e no que é feio agora é um processo que nos proporciona “o foco negativo para sobreviver, mas positivo para prosperar”.
Compartilhar informações sobre ameaças e cooperar com outros grupos de inteligência sobre ameaças ajuda a fortalecer as proteções dos clientes e aumenta a eficácia do setor de segurança cibernética em geral.(Derek Manky)