Mozilla у вівторок оголосила про реліз Firefox 115 для стабільного каналу з патчами для низки вразливостей, включно з двома серйозними помилками use-after-free. Про це повідомляє Security Week.
Перша проблема високого рівня CVE-2023-37201, описана як помилка use-after-free при генерації сертифікатів WebRTC.
Відкритий проєкт WebRTC дає змогу реалізовувати реальний обмін даними у веббраузерах і мобільних застосунках через інтерфейси програмування додатків (API).
«Зловмисник міг викликати стан use-after-free при створенні з’єднання WebRTC через HTTPS», – пояснили представники Mozilla у повідомленні.
Друга вразливість високого рівня CVE-2023-37202, описана як потенційна проблема use-after-free через невідповідність компартментів у відкритому коді JavaScript та WebAssembly SpiderMonkey.
«Крос-компартментні оболонки, що обгортають скриптовий проксі, могли зберігати об’єкти з інших компартментів у головному компартменті, що призводило до стану use-after-free», – повідомляє Mozilla.
Розробник браузера каже, що останнє оновлення Firefox також усуває серйозні проблеми безпеки пам’яті, які могли призвести до виконання довільного коду. Помилки відслідковуються як CVE-2023-37211 та CVE-2023-37212.
Firefox 115 також включив виправлення для восьми помилок середнього рівня серйозності, які призводять до розміщення трекерів зловмисних сайтів без дозволів, виконання довільного коду, спроб спуфінгу, спуфінгу URL-адрес, завантаження файлів зі шкідливим кодом, стану use-after-free й обманом змушують користувачів надіслати конфіденційні дані для шкідливих сайтів.
На цьому тижні Mozilla також оголосила, що Firefox ESR 102.13 і Thunderbird 102.13 були випущені з виправленнями для п’яти вразливостей, включно з серйозними багами use-after-free та проблемами безпеки пам’яті, які були вирішені у Firefox 115.
Додаткову інформацію про усунуті вразливості можна знайти на сторінці порад щодо безпеки Mozilla.
