DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Mozilla khắc phục nhiều lỗ hổng an ninh trong Firefox, Thunderbird
Mozilla vừa khắc phục 18 lỗ hổng an ninh ảnh hưởng đến trình duyệt Firefox và chương trình email Thunderbird.
Mozilla vừa phát hành Firefox 96 giải quyết 18 lỗ hổng an ninh trong trình duyệt Firefox và chương trình email Thunderbird. Chín lỗ hổng được vá trong bản cập nhật lần này được đánh giá ở mức nghiêm trọng cao; trong đó, lỗ hổng nghiêm trọng nhất ảnh hưởng đến Firefox dành cho hệ điều hành Windows là lỗi về race condition với mã định CVE-2022-22746.
Mozilla cho biết: “race condition có thể cho phép bỏ qua thông báo toàn màn hình, điều này có thể dẫn đến các cuộc tấn công giả mạo”.
Tin tặc có thể khai thác lỗ hổng để qua mặt thông báo toàn màn hình trên Windows. Một lỗi nghiêm trọng khác được Mozilla khắc phục là lỗi giả mạo toàn màn hình trong cửa sổ trình duyệt Firefox, CVE-2022-22743. Lỗ hổng có thể cho phép một tab trình duyệt do kẻ tấn công kiểm soát ngăn Firefox thoát khỏi chế độ toàn màn hình khi người dùng điều hướng từ bên trong iframe.
Một vấn đề khác được Mozilla khắc phục là lỗi ngăn cửa sổ bật lên thoát khỏi chế độ toàn màn hình khi thay đổi kích thước của cửa sổ này trong cài đặt chế độ toàn màn hình.
Mozilla cũng vá lỗi truy cập bộ nhớ ngoài giới hạn có thể làm hỏng trình duyệt, CVE-2022-22742.
Mozilla viết: “Khi chèn văn bản trong chế độ chỉnh sửa, một số ký tự có thể dẫn đến truy cập bộ nhớ vượt quá giới hạn, dẫn đến tình trạng hỏng (crash) trình duyệt”.
Firefox 96 cũng giải quyết lỗi tràn bộ đệm heap (CVE-2022-22738). Việc áp dụng hiệu ứng bộ lọc CSS có thể đã truy cập vào bộ nhớ vượt quá giới hạn, điều này có thể dẫn đến tràn bộ đệm heap, gây ra sự cố crash trong trình duyệt.
Các lỗi có nguy cơ cao khác được khắc phục trong Firefox 96 bao gồm hai lỗi use-after-free, CVE-2022-22740 và CVE-2022-22737 và một lỗi vượt qua iframe sandbox sử dụng XSLT, CVE-2021-4140.
Mozilla cũng khắc phục sáu lỗi ở mức nghiêm trọng trung bình, bao gồm lỗi sandbox escape và thiếu các hạn chế về URL khi quét mã QR trong Firefox dành cho Android.
Ngoài ra, bản cập nhật lần này cũng sửa một số lỗi liên quan đến bộ nhớ trong Firefox 96, Firefox ESR 91.5 và Thunderbird 91.5 (CVE-2022-22751).
Mozilla vừa phát hành Firefox 96 giải quyết 18 lỗ hổng an ninh trong trình duyệt Firefox và chương trình email Thunderbird. Chín lỗ hổng được vá trong bản cập nhật lần này được đánh giá ở mức nghiêm trọng cao; trong đó, lỗ hổng nghiêm trọng nhất ảnh hưởng đến Firefox dành cho hệ điều hành Windows là lỗi về race condition với mã định CVE-2022-22746.
Mozilla cho biết: “race condition có thể cho phép bỏ qua thông báo toàn màn hình, điều này có thể dẫn đến các cuộc tấn công giả mạo”.
Tin tặc có thể khai thác lỗ hổng để qua mặt thông báo toàn màn hình trên Windows. Một lỗi nghiêm trọng khác được Mozilla khắc phục là lỗi giả mạo toàn màn hình trong cửa sổ trình duyệt Firefox, CVE-2022-22743. Lỗ hổng có thể cho phép một tab trình duyệt do kẻ tấn công kiểm soát ngăn Firefox thoát khỏi chế độ toàn màn hình khi người dùng điều hướng từ bên trong iframe.
Một vấn đề khác được Mozilla khắc phục là lỗi ngăn cửa sổ bật lên thoát khỏi chế độ toàn màn hình khi thay đổi kích thước của cửa sổ này trong cài đặt chế độ toàn màn hình.
Mozilla cũng vá lỗi truy cập bộ nhớ ngoài giới hạn có thể làm hỏng trình duyệt, CVE-2022-22742.
Mozilla viết: “Khi chèn văn bản trong chế độ chỉnh sửa, một số ký tự có thể dẫn đến truy cập bộ nhớ vượt quá giới hạn, dẫn đến tình trạng hỏng (crash) trình duyệt”.
Firefox 96 cũng giải quyết lỗi tràn bộ đệm heap (CVE-2022-22738). Việc áp dụng hiệu ứng bộ lọc CSS có thể đã truy cập vào bộ nhớ vượt quá giới hạn, điều này có thể dẫn đến tràn bộ đệm heap, gây ra sự cố crash trong trình duyệt.
Các lỗi có nguy cơ cao khác được khắc phục trong Firefox 96 bao gồm hai lỗi use-after-free, CVE-2022-22740 và CVE-2022-22737 và một lỗi vượt qua iframe sandbox sử dụng XSLT, CVE-2021-4140.
Mozilla cũng khắc phục sáu lỗi ở mức nghiêm trọng trung bình, bao gồm lỗi sandbox escape và thiếu các hạn chế về URL khi quét mã QR trong Firefox dành cho Android.
Ngoài ra, bản cập nhật lần này cũng sửa một số lỗi liên quan đến bộ nhớ trong Firefox 96, Firefox ESR 91.5 và Thunderbird 91.5 (CVE-2022-22751).
Theo: securityaffairs
Chỉnh sửa lần cuối bởi người điều hành: