Mozilla 本周宣布发布 Firefox 111,它修补了十几个漏洞,包括潜在的严重问题。
在 13 个CVE中,有 7 个被指定为“高”严重性等级。其中三个只影响 Firefox for Android,它们可以让黑客隐藏全屏通知——这可能导致用户混淆或欺骗攻击——并在没有提示的情况下打开第三方应用程序。
使用最新的 Firefox 更新修补的其他高严重性缺陷可能导致任意代码执行和信息泄露。
网络安全公司 Sophos分析了补丁并强调了两个漏洞:CVE-2023-28161 和 CVE-2023-28163。Sophos 在一篇博客文章中说:
CVE-2023-28161:授予本地文件的一次性权限扩展到同一选项卡中加载的其他本地文件。有了这个错误,如果你打开一个本地文件(比如下载的 HTML 内容)想要访问你的网络摄像头,那么你之后打开的任何其他本地文件都会在不询问你的情况下神奇地继承该访问权限。正如 Mozilla 指出的那样,如果您正在查看下载目录中的项目集合,这可能会导致麻烦——您看到的访问权限警告将取决于您打开文件的顺序。
CVE-2023-28163: Windows 另存为对话框解决了环境变量问题。正如我们喜欢说的,这是对您的输入进行消毒的另一个强烈提醒。在 Windows 命令中,一些字符序列被特殊处理,例如 %USERNAME%,它被转换为当前登录用户的名称,或 %PUBLIC%,它表示一个共享目录,通常在 C:\Users 中。一个偷偷摸摸的网站可能会以此为诱饵让您看到并批准下载一个看起来无害但位于您意想不到的目录中的文件名(您以后可能不会意识到它已经结束了)。
加拿大和美国的网络安全机构已将最新的 Firefox 补丁通知用户,敦促他们阅读建议并应用必要的更新。
Firefox 漏洞不像影响 Chrome 的漏洞那样成为威胁行为者的目标,但用户不应忽视潜在风险。CISA 已知的已利用漏洞目录列出了过去十年发现的 10 个 Firefox 漏洞。
此外,Mozilla 本周宣布,它正在考虑让Firefox Relay电子邮件和电话号码屏蔽工具直接在 Firefox 中可用。
>>>等级保护<<<
>>>供应链安全<<<
>>>其他<<<
联系客服