Mozilla выпустила Firefox 116, Firefox ESR 115.1 и Firefox ESR 102.14 Выпуск включает исправления для 14 CVE, 9 из которых - высокой степени серьезности. Некоторые из них могут привести к RCE или выходу из песочницы. ▪️Первая уязвимость высокой степени серьезности CVE-2023-4045 описывается как обход ограничений между источниками в Offscreen Canvas. ▪️Второй серьезной проблемой является CVE-2023-4046, которая описывается как использование неверного значения во время компиляции WASM. Ошибка приводит к неправильной компиляции и потенциально опасному сбою в процессе работы с контентом. ▪️Обновление браузера также устраняет CVE-2023-4047, обход запроса на разрешение с помощью кликджекинга. Уязвимость позволяет заставить пользователя щелкнуть на элемент, но вместо этого зарегистрировать ввод как щелчок в диалоговом окне безопасности, которое не отображается для пользователя (включая доступ к местоположению, отправку уведомлений, активацию микрофона и тд). ▫️Три другие уязвимости высокой степени серьезности включают: - CVE-2023-4048 (чтение за пределами границ, вызывающее сбой DOMParser при деконструкции созданного HTML-файла), - CVE-2023-4049 (приводит к use-after-free) - CVE-2023-4050 (переполнение буфера стека в StorageManager, приводящее к выходу из песочницы). ▫️Отслеживаемые как CVE-2023-4056, CVE-2023-4057 и CVE-2023-4058, ошибки безопасности памяти, устраненные в Firefox 116, могли привести к RCE. По данным Mozilla, сведений об использовании этих уязвимостей в реальных атаках не получено. Linux / Линукс 🥸