Firefox 120 שוחרר עם עדכוני אבטחה: מה חדש!
עם שחרורו של Mozilla Firefox 120, 10 פגיעויות מתוקנות, כולל שש בעיות 'חומרה גבוהה' ושתי בעיות בדרגת חומרה בינונית ונמוכה.
השינויים העיקריים בפיירפוקס 120 כוללים:
- הגדרת בקרת פרטיות גלובלית
- ייבא נתונים מ-Chromium snap
- אפשרות להעתקת קישור ללא מעקב אחר אתרים
- מצב תמונה-בתמונה (PIP) תומך כעת בצילום פינות ב-Windows ו-Linux
- מוסיף תכונה חדשה של DevTools
- מייבא עוגני אמון של TLS
- שיפורים בחלונות פרטיים ובתצורת פרטיות ETP-Strict.
טופלו פגמים בחומרה גבוהה
הפגיעות היא CVE-2023-6204 ; בהתאם להגדרות הגרפיקה ולמנהלי התקנים, ניתן היה לגרום לקריאה מחוץ לתחום ולדליפת נתוני זיכרון לתמונות שנוצרו על אלמנט הקנבס. JSec מאבטחת חיים דיווח על בעיה זו.
הבאג, שזוהה כ- CVE-2023-6205 , איפשר שימוש ב-MessagePort לאחר שכבר שוחרר, מה שעלול להוביל להתרסקות ניתנת לניצול. יאנגקאנג מצוות 360 ATA דיווח על בעיה זו.
סוגיית CVE-2023-6206 , אנימציית דהייה שחורה בזמן יציאה מסך מלא, היא בערך משך ההשהיה נגד חטיפת קליקים בהנחיות ההרשאה. עובדה זו עשויה לשמש כדי להפתיע את הצרכנים על ידי שכנועם ללחוץ היכן היה אמור להופיע כפתור הענקת ההרשאה. הנושא דווח על ידי חפייז'.
הפגם שנחקק כ- CVE-2023-6207 הוא שימוש-לאחר-חופשי ב-ReadableByteStreamQueueEntry::Buffer. יאנגקאנג מצוות 360 ATA דיווח על בעיה חמורה זו.
CVE-2023-6212 הוא באג בטיחותי בזיכרון שתוקן ב-Firefox 120, ESR 115.5 ו-Thunderbird 115.5.
סמינר מקוון של סימולציית תקיפה של ממשק API
בסמינר המקוון הקרוב, Karthik Krishnamoorthy, CTO ו-Vivek Gopalan, סמנכ"ל מוצרים ב-Indusface מדגימים כיצד ניתן לפרוץ ממשקי API. המפגש יכסה: ניצול של פגיעות OWASP API Top 10, התקפת שליטה על חשבון גס (ATO) על API, התקפת DDoS על API, כיצד WAAP יכול לחזק את האבטחה מעל שער API
Firefox 120 טיפל בבעיות בטיחות בזיכרון, שהוא הפגם שזוהה כ-CVE-2023-6213. מפתחים עבור Mozilla דיווחו על שני הבאגים בחומרה גבוהה.
"חלק מהבאגים הללו הראו עדויות לשחיתות זיכרון ואנו מניחים שעם מספיק מאמץ ניתן היה לנצל חלק מהם להפעלת קוד שרירותי", אמרה מוזילה בייעוץ שלה.
טופלו בעיות בחומרה בינונית ונמוכה
בעיות חומרה מתונות: שימוש ב-API של Selection יעתיק תוכן לבחירה הראשית של X11 ( CVE-2023-6208 ) וניתוח שגוי של כתובות URL יחסיות שמתחיל ב-( CVE-2023-6209 ).
בעיות בחומרה נמוכה: משאבי תוכן מעורב לא חסומים ב-javascript: מוקפץ (CVE-2023-6210) ו- Clickjacking לטעינת דפים לא מאובטחים במצב HTTPS בלבד (CVE-2023-6211).
אתה יכול להוריד את Firefox עבור Windows, macOS או Linux מאתר Mozilla.