На этой неделе Mozilla выпустила Firefox 110 и Firefox ESR 102.8. Обновления примечательны тем, что разработчики устранили 10 уязвимостей, получивших высокую степень риска. Пользователям рекомендуют установить патчи.
Одна из брешей, которую отслеживают под идентификатором CVE-2023-25728, позволяет атакующему слить неотредактированный URI «ребёнка» iframe. Редирект при этом будет вызываться при взаимодействии с iframe.
Помимо этого, в Firefox разобрались с уязвимостью CVE-2023-25730, допускающей перехват экрана с помощью полноэкранного режима. Проблема существует из-за того, что скрипт в фоновом режиме может вызывать полноэкранный режим и затем заблокировать основной поток.
В отчёте Mozilla утверждается, что эксплуатация CVE-2023-25730 может позволить провести спуфинг.
Ещё один баг — CVE-2023-25743 — блокировал полноэкранные уведомления, что могло сыграть на руку вредоносным сайтам. Его нашли в Firefox Focus. А брешь CVE-2023-0767 позволяет злоумышленнику создать пакет сертификатов PKCS 12 и сделать произвольную запись в память из-за неправильной обработки атрибутов PKCS 12 SafeBag.
