A Mozilla anunciou na terça-feira o lançamento do Firefox 115 para o canal estável com patches para uma dúzia de vulnerabilidades, incluindo dois bugs de uso após a liberação de alta gravidade.
Rastreado como CVE-2023-37201, o primeiro dos problemas de alta gravidade é descrito como uma falha de uso após liberação na geração de certificados WebRTC.
Um projeto de código aberto, o WebRTC permite a comunicação em tempo real em navegadores da Web e aplicativos móveis, por meio de interfaces de programação de aplicativos (APIs).
“Um invasor pode ter acionado uma condição de uso após a liberação ao criar uma conexão WebRTC por HTTPS”, explica a Mozilla em um consultivo.
A segunda vulnerabilidade de alta gravidade, CVE-2023-37202, é descrita como um possível problema de uso após a liberação da incompatibilidade de compartimento no JavaScript de código aberto e no mecanismo WebAssembly SpiderMonkey.
“Os wrappers de compartimento cruzado envolvendo um proxy com script podem ter feito com que objetos de outros compartimentos fossem armazenados no compartimento principal, resultando em um uso após a liberação”, diz a Mozilla.
O fabricante do navegador diz que a atualização mais recente do Firefox também aborda bugs de segurança de memória de alta gravidade que podem ter levado à execução de código arbitrário. As falhas são rastreadas coletivamente como CVE-2023-37211 e CVE-2023-37212.
O Firefox 115 também inclui patches para oito vulnerabilidades de gravidade média que levam a sites maliciosos que colocam rastreadores sem permissão, execução arbitrária de código, ataques de falsificação, falsificação de URL, download de arquivos contendo código malicioso, condição de uso após liberação e para enganar os usuários a enviar dados confidenciais para sites maliciosos.
Esta semana, a Mozilla também anunciou que o Firefox ESR 102.13 e o Thunderbird 102.13 foram lançados com patches para cinco vulnerabilidades, incluindo os bugs de segurança de memória e uso após liberação de alta gravidade que foram corrigidos no Firefox 115.
Informações adicionais sobre as vulnerabilidades resolvidas podem ser encontradas em Página de avisos de segurança da Mozilla.
:
: