Mozilla 修复Firefox 浏览器的多个高危漏洞

于 2023-03-17 17:45:00 发布
阅读量975 收藏
点赞数
文章标签: firefox 前端
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247515956&idx=2&sn=7870f9607adf1541eef5be5402a82ab4&chksm=ea948e5edde307489a6b2a77b80ba248729a3d0dbfd20a6b65ee00d181f4b422bc09fa95eb1c&scene=126&sessionid=0
版权

a32168b623f0552dc2ea98b73f655692.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

本周,Mozilla发布Firefox 111,修复了13个漏洞,其中一些是严重级别。

在这13个CVE漏洞中,7个为“高危”级别,3个仅影响安卓版本的Firefox浏览器,可导致黑客隐藏全屏通知,从而导致用户混淆或欺骗攻击,并在无需提示的情况下打开第三方应用。其它高危漏洞可导致任意代码执行和信息泄露后果。

Sophos 公司分析了这些补丁并着重强调了两个漏洞CVE-2023-28161和CVE-2023-28163。

CVE-2023-28161:本地文件的一次性权限被扩展到在同样标签下加载的其它本地文件中。如果用户打开本地文件(如下载的HTML内容)想要访问网络摄像头,则用户之后打开的任何其它本地文件都会继承该访问权限而无需询问。Mozilla提到,如果用户通过下载目录中的项目集合查看则会导致问题出现:用户所看到的权限提醒将取决于打开文件的次序。

CVE-2023-28163Windows“另存为”对话解析了环境变量,这是对清理输入的重要提醒。在Windows命令中,某些字符序列被专门处理如 %USERNAME% (被转换为当前已登录用户的名称)或 %PUBLIC%(表明为共享目录,通常位于C:\Users中)。恶意网站将借此诱骗用户查看并批准下载看似无害但实际上落到预期之外目录中的文件名称。

位于加拿大和美国的网络安全机构已将补丁告知用户,督促用户阅读安全公告并应用必要补丁。

虽然Firefox漏洞不像Chrome漏洞那样易遭攻击,但用户不应忽略潜在风险。在过去的十年中,CISA的已知利用漏洞列表中收录了10个Firefox漏洞。另外,Mozilla在本周还宣布用户将直接可在Firefox中使用Firefox Relay邮件和电话号码掩藏工具。

337717a5d163d12ca340054d17f104d4.png

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

奇安信入选全球《软件成分分析全景图》代表厂商

Firefox 97.0.2 修复两个已遭利用的0day

VEGA Stealer恶意软件窃取 Chrome 和 Firefox 浏览器信息

Mozilla 修复跨平台加密库 NSS 中的严重漏洞

Mozilla 扩展漏洞奖励计划,涵盖利用缓解技术绕过

原文链接

https://www.securityweek.com/mozilla-patches-high-severity-vulnerabilities-with-release-of-firefox-111/

题图:Pexels License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

86edb526557aa334ce28a41e9637eb46.jpeg

c207273ef2b8e4c63de783b512f75fc5.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   7e72ca46caf99005717b40b352ddb87c.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
红队系列-网络安全知识锦囊(持续更新)
aming小老弟
11-09 1241
AJP13是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。AJP协议:WEB服务器通过TCP连接和SERVLET容器连接。为了减少进程生成socket的花费,WEB服务器和SERVLET容器之间尝试保持持久性的TCP连接,对多个请求/回复循环重用一个连接。一旦连接分配给一个特定的请求,在请求处理循环结束之前不会在分配。换句话说,在连接上,请求不是多元的。这个是连接两端的编码变得容易,虽然这导致在一时刻会有很多连接。
Android操作系统浏览器安全漏洞的分析 (2013)
05-22
本文对Android 操作系统中浏览器引擎WebKit 工作原理进行分析,并介绍了WebView 工作流程中存在安全漏洞,会造成用户个人信息丢失的隐患。根据Android 操作系统中浏览器工作原理的分析, 仿真验证了在WebView 中确实存在用户人隐私信息丢失的危险。
Firefox出现大漏洞 黑客恐取得系统层权限执行任何指令
mondy1989的博客
02-02 1234
Mozilla发出安全公告揭露Firefox56到58版存在一个能让未经验证的远程攻击者在受害系统上执行程序代码的漏洞Mozilla已经释出更新版Firefox解决问题。 文章出自:SBF999胜博发娱乐时代 http://www.iselex.com/ 这项编号为CVE-2018-5124的漏洞是由Mozilla研究人员Johann Hofmann通报,它存在于Firefox
Mozilla发补丁修复火狐5个安全漏洞
weixin_33699914的博客
09-24 151
Mozilla发布了补丁修复老版本的火狐浏览器中的五个安全漏洞。同时,一家安全公司警告称,最新版本的火狐浏览器存在一个零日攻击安全漏洞Mozilla星期三(217日)发布了3.5.8版和3.0.18版火狐浏览器的补丁。尽管Mozilla曾表示在今1停止为火狐3.0版提供技术支持,Mozilla仍然发布了3.0.18版火狐浏览器的补丁。 Mozilla在安全公告中称,这些...
第2个0day!火狐浏览器再次紧急发布新版本,修复已遭利用的第2个0day
systemino的博客
06-23 435
时隔两天,火狐浏览器再发新版本67.0.4,修复和第1个0day出现于同样攻击中的另外一个0day。火狐浏览器用户应立即安装更新。 前天我们在文章《火狐浏览器紧急修复详情不明但已遭利用的 0day》指出,火狐发布67.0.3版本修复已被用于针对性攻击中的一个严重的远程代码执行漏洞。之后,研究人员发现该漏洞和另外一个未知漏洞被组合用于钓鱼攻击中,以在受害者机器上释放并执行恶意payl...
Firefox 31~34远程命令执行漏洞的分析
weixin_34239169的博客
03-08 226
phith0n · 2015/03/26 17:470x00 前言前段时间,二哥在很多浏览器中将脚本层面的漏洞提升为远程命令执行,几乎日遍市面上所有国产浏览器,这成为了许多人津津乐道的话题。确实,在当今这个底层安全防护越来越强的环境下,堆栈溢出、UAF造成的漏洞利用起来变得很困难,但如果借助浏览器提供的一些脚本层接口做到RCE,将是一个是两拨千金的过程。CVE-2014-8638就是这样一个漏洞,...
漏洞分析】Mozilla Firefox 字符串替换堆破坏漏洞(CVE-2013-0750)
counsellor的专栏
02-01 1043
0x00 前言 有源码,不用IDA反编译,比较容易发现问题。 0x01 简介 在Mozilla Firefox浏览器的js实现中出现整数溢出漏洞,除了影响Firefox18.0以前的所有版本,还影响了Thunderbird,SeaMonkey 等产品,这个漏洞允许攻击者通过构造字符串拼接执行恶意代码。 CVE-2013-0750影响firefox历史的全部版本,在当时绝对是一颗重磅炸弹了。看下那时...
Firefox火狐浏览器官方72.0.2-win32版本exe安装包
12-24
在安全性方面,Firefox 72.0.2包含了一系列安全更新,修复多个可能被利用的漏洞,包括一些高危级别的远程代码执行漏洞。这些修复确保了用户在浏览网页时不会受到恶意攻击。 总之,Firefox火狐浏览器72.0.2-win32...
Firefox火狐浏览器官方68.7.0esr-win32版本exe安装包
12-24
Firefox 68.7.0esr在安全方面做了大量的工作,包括但不限于修复多个高危级别的漏洞,这些漏洞可能被利用来进行跨站脚本攻击(XSS)、缓冲区溢出攻击等,以保护用户免受恶意代码的侵害。同时,它也改进了对Web加密...
Firefox火狐浏览器官方8.0.1-win32版本exe安装包
12-24
在此次提供的"Firefox火狐浏览器官方8.0.1-win32版本exe安装包"中,我们关注的是适用于Windows 32位系统的8.0.1版本。这个版本发布于一个特定的时间,它可能包含了针对当时已知安全问题的修复,性能优化和新功能的...
火狐16.0.2离线安装包
11-03
火狐浏览器,全名Mozilla Firefox,是一款开源且广受欢迎的网页浏览器。16.0.2是火狐浏览器的一个特定版本,它在发布时包含了多项更新和改进,旨在提升用户的浏览体验和安全性。离线安装包意味着用户可以在没有...
android操作系统浏览器安全漏洞
12-11
android浏览器中存在很多漏洞,本文对此进行介绍
linux对firefox权限,Mozilla Firefox 不明细节权限提升漏洞
weixin_33514163的博客
04-30 95
发布日期:2014-03-13更新日期:2014-03-14受影响系统:Mozilla Firefox描述:--------------------------------------------------------------------------------BUGTRAQ ID: 66206Firefox是一款非常流行的开源WEB浏览器Mozilla Firefox在实现上存在不明细...
安全狗漏洞通告:Mozilla Firefox Use-after-free漏洞解决方案
bocco的博客
03-07 2839
近日,安全狗应急响应中心监测到Mozilla发布安全公告,修复FirefoxFirefox ESR、Firefox for Android、Focus和Thunderbird中2个被积极利用的0 day漏洞(CVE-2022-26485和CVE-2022-26486)。
火狐修复神秘的严重漏洞,同时影响Chrome 浏览器
smellycat000的专栏
12-17 222
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队Mozilla 基金会发布了火狐 84 浏览器版本,修复了一个严重漏洞多个高危漏洞Mozilla 旨在通过该版本提升浏览...
CVE-2020-6819|CVE-2020-6820:Firefox在野利用漏洞通告
爱国小白帽
04-04 869
CVE-2020-6819|CVE-2020-6820:Firefox在野利用漏洞通告 360-CERT [360CERT](javascript:void(0)???? 今天 0x00 漏洞背景 20200404日, 360CERT监测发现20200403日Mozilla官方发布了安全通告,该安全通告包含了两个Firefox严重漏洞,CVE编号分别为CVE-2020-6819和CVE-202...
Mozilla 修复跨平台加密库 NSS 中的严重漏洞
smellycat000的专栏
12-02 311
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Mozilla 修复了影响跨平台网络安全服务 (NSS) 加密库中一个严重的内存损坏漏洞 (CVE-2021-43527)。NSS 可用...
火狐浏览器看中一段代码是复制外部html还是复制内部html,Firefox火狐浏览器漏洞-远程代码执行全过程(附Poc)...
weixin_36317502的博客
06-07 226
大家好,欢迎大家来到LIUSE网络。今天给大家演示一次对于火狐浏览器代码远程执行漏洞的全过程,后面将附上Poc的利用代码。我们本次实验以学习为主,所以在触发漏洞后会自动执行并弹出calc.exe(计算器),既然能自动运行外部程序,那要是把calc换成木马程序,可怕性可想而知!当然只是作为演示,我们不可以做其它事情。关于火狐:说道火狐浏览器大家一定都不陌生,简洁的外观、强大的功能插件库、强大的框架稳...
android浏览器框架漏洞,Hacking Team安卓浏览器攻击过程中的漏洞分析Stage0
weixin_34688479的博客
05-29 392
一、漏洞简介Hacking team今爆出了针对android4.0.x-4.3.x android浏览器漏洞攻击利用代码。该漏洞攻击代码,通过连续利用多个浏览器与内核漏洞,完成通过javascript向虚拟内存写数据,执行代码,提升至root权限,并最终达到向目标手机中植入恶意程序的目的。该利用过程分为5个复杂的Stage,本文首先分析了第1个Stage,即Stage0。 攻击代码的Stag...
那你给我找一下Mozilla Firefox 浏览器测试文档和测试环境
最新发布
05-05
好的,以下是Mozilla Firefox 浏览器测试文档和测试环境的相关信息: 测试文档: 1. Firefox 浏览器测试计划:https://wiki.mozilla.org/QA/Firefox_Test_Plan 2. Firefox 浏览器测试用例:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值