CERTMIL

Centrul de Răspuns la Incidente de Securitate Cibernetică

Firefox 102 remediază 19 vulnerabilități

În cea mai recentă actualizare (102), Mozilla a remediat CVE-2022-34470, o vulnerabilitate de tip use-after-free în nsSHistory care a fost declanșată la navigarea între documente XML și care ar putea fi exploatată.

Vulnerabilitățile de tip use-after-free pot fi exploatate pentru a obține executarea de cod arbitrar, coruperea datelor sau denial of service și ar putea duce la compromiterea completă a sistemului mai ales dacă sunt combinate cu alte vulnerabilități. Site-urile web malițioase pot exploata aceste bug-uri pentru a scăpa de sandbox-ul unui browser.

CVE-2022-34468, o altă vulnerabilitate remediată în Firefox 102, ar putea permite ocolirea unui header sandbox CSP. Din cauza acestei probleme, atunci când un utilizator făcea clic pe un link javascript: link , un iframe putea rula scripturi fără autorizație.

Noua versiune Firefox rezolvă, de asemenea, CVE-2022-34479, o vulnerabilitate specifică Linux care permite site-urilor web malițioase să creeze ferestre pop-up care pot fi redimensionate astfel încât bara de adrese să se suprapună cu conținutul web, ceea ce ar putea duce la un atac de tip spoofing.

Firefox 102 îmbunătățește, de asemenea, confidențialitatea utilizatorilor prin atenuarea monitorizării parametrilor de interogare atunci când navighează pe internet cu modul strict Enhanced Tracking Protection (ETP) activat.

Cu ETP, Firefox limitează cookie-urile site-urilor care le-au creat, ceea ce previne urmărirea între site-uri. În acest fel, Firefox poate bloca parametrii de urmărire specifici pe care site-urile web îi pot folosi pentru a ocoli măsurile de protecție a confidențialității pe care browserele le-au implementat.

În plus, Firefox 102 gestionează decodarea audio într-un proces separat, care dispune de un sandboxing mai strict, pentru a îmbunătăți izolarea proceselor.

Sursă: https://www.securityweek.com/firefox-102-patches-19-vulnerabilities-improves-privacy

Autor

© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică