Firefox發布最新補丁 修復10項高危險漏洞

編譯／鄭智懷

Firefox開發商Mozilla在本周發布新版Firefox 110，Firefox ESR 102.8。除了新增數項功能之外，還提供包含10項高危險漏洞在內錯誤修復補丁，避免用戶受攻擊者誘騙，使用具有漏洞的瀏覽器造訪惡意網站，從而背後者入侵系統。

在本次更新中，Mozilla提供的補丁主要針對Firefox在阻止第三方植入附加組件，緩衝區錯誤、資料外洩與防止詐騙。

過去，Firefox允許用戶加載第三方附加組件。但是，此設定導致惡意軟體入侵可能性增加，進而促使瀏覽器運作緩慢，甚至崩潰的狀況。而客戶卻將其歸咎於Firefox本身穩定性不足。

因此，此次更新解決了如安全漏洞CVE-2023-0767，在程式錯誤時，允許系統執行任意程式碼，或是如CVE-2023-25735，無意間允許儲存第三方封包資料等問題。

而在緩衝區錯誤上，如安全漏洞CVE-2023-25745 和 CVE-2023-25744會因類似的問題而引起溢出，和存取已經釋放的內存區。

新版的Firefox也關閉如安全漏洞CVE-2023-25728，防止攻擊者透過內嵌框架（iframe），將受害者從瀏覽網頁轉移，或是如CVE-2023-25740，允許攻擊者提供遠端存取的登錄途徑，進而入侵系統的問題。

另外，Mozilla還解決了兩項與全螢幕模式有關的安全漏洞：CVE-2023-25730允許攻擊者使用定制腳本無限期開啟網頁全螢幕模式，影響用戶操作，達到混淆與欺騙的目的；CVE-2023-25743則造成無法顯示全螢幕通知，使惡意網站能藉此繞過瀏覽器 chrome的安全設定。

除了上述高危險漏洞外，本次更新也提供幾個中低嚴重程度的安全補丁，解決瀏覽器低機率崩潰或受到其他影響的問題。

資料來源：SecurityWeek

瀏覽 909 次