Mozilla на этой неделе выпустила версию Firefox 115. Опубликованный в канале стабильных обновлений релиз содержит патчи для десятка уязвимостей, включая две use-after-free высокой степени риска.
Первая опасная брешь отслеживается под идентификатором CVE-2023-37201 и затрагивает WebRTC.
«Условный атакующий может задействовать некорректное использование динамической памяти при установке HTTPS-соединения WebRTC», — пишет Mozilla в уведомлении.
Вторую UAF — CVE-2023-37202 — нашли в JavaScript- и WebAssembly-движке SpiderMonkey. Разработчики описывают её так:
«Оболочки прокси могли привести к тому, что объекты из других отсеков будут храниться в основном отсеке, что создаёт use-after-free».
В Mozilla отметили ещё две дыры — CVE-2023-37211 и CVE-2023-37212. По словам девелоперов, они могут привести к выполнению произвольного кода.
Кроме самих патчей, в Firefox 115 добавили ряд интересных нововведений, среди которых, например, удобный перенос платёжных методов из браузера Chrome и его сородичей. Подробнее можно почитать в заметках о релизе.