在一个安全咨询,Mozilla宣布其Firefox浏览器中的几个安全问题已得到修复。其中一些漏洞被列为高影响力。

公开披露的计算机安全漏洞列在常见漏洞和暴露(CVE)数据库中。它的目标是使跨单独的漏洞功能(工具、数据库和服务)共享数据变得更容易。我们将在下面的更新中讨论一些修复的cve。

iFrame中的XSLT

列为cve - 2021 - 38503,它修复了iframe沙箱规则没有正确应用于XSLT样式表的问题,允许iframe绕过诸如执行脚本或导航顶层框架等限制。攻击者可以处理经过处理的XSLT样式表,并能够执行脚本或在主框架上进行拆分。

XSLT(可扩展样式表语言转换)是一种用于将XML文档转换为其他XML文档或其他格式的语言,如用于网页的HTML、纯文本或XSL格式化对象,这些格式随后可能被转换为其他格式,如PDF、PostScript和PNG。

在文件选择器对话框中自由后使用

下面列出的漏洞cve - 2021 - 38504可能允许远程攻击者在系统上执行任意代码,这是由文件选择器对话框中的“空闲后再使用”引起的。通过说服受害者访问一个专门制作的网站,远程攻击者可以与HTML输入元素的文件选择器对话框进行交互webkitdirectory放。自由后使用(UAF)是由于程序操作期间不正确使用动态存储器的漏洞。如果在释放内存位置后,程序不清除该内存的指针,攻击者可以使用错误来操纵程序。

Windows 10云剪贴板

下面列出的漏洞cve - 2021 - 38505仅启用云剪贴板的Windows 10+的Firefox用户仅适用。希望防止在云历史记录中录制复制数据的应用程序必须使用特定的剪贴板格式。94之前和ESR 91.3之前的Firefox版本没有实现这些格式。这可能导致将要记录到用户的Microsoft帐户的敏感数据。

主动全屏模式

cve - 2021 - 38506描述了一个漏洞,在这个漏洞中,通过一系列的导航,Firefox可以在没有通知或警告的情况下进入全屏模式。这可能导致对浏览器UI的欺骗攻击,包括网络钓鱼。这种类型的攻击对技术支持骗子特别有用,因为他们可以使浏览器页面看起来像一个安全警告或BSOD.,并欺骗用户调用特定数字。

HTTP2中的机会式加密

列为cve - 2021 - 38507,HTTP2的机会主义加密功能(RFC 8164)允许连接透明地升级到TLS,同时保留HTTP连接的视觉属性,包括与端口80上的未加密连接的同一原点。但是,如果第二加密端口the same IP address (e.g. port 8443) doesn’t opt-in to opportunistic encryption, a network attacker could forward a connection from the browser to port 443 to port 8443, causing the browser to treat the content of port 8443 as same-origin with HTTP. This was resolved by disabling the Opportunistic Encryption feature, which had low usage.

QR码扫描

在moz21 -2021-0003下列出的漏洞没有分配给它的CVE编号。该漏洞仅影响Android版本的Firefox。Android版本的Firefox存在一个通用跨站漏洞,这是由于在处理从二维码扫描的URL时不恰当的消毒造成的。跨站脚本攻击(XSS)是一种注入,在这种攻击中,恶意脚本被注入到良性和可信的网站中。QR码是复杂的条形码在诈骗者中受欢迎.建议使用QR扫描仪在遵循链接之前检查或至少检查URL。

内存安全错误

在Moz-2021-0007下分组了几个内存安全错误。其中一些错误显示了记忆损坏的证据,推测有足够的努力,其中一些可以利用任意代码。Mozilla开发人员和社区成员发现这些错误,并在此更新中修复。

如何保护自己

上面列出的所有问题以及更多的问题已在Firefox 94和Firefox ESR 91.3中修复。默认情况下,Firefox会自动更新。您可以随时检查更新,在这种情况下下载更新,但它是直到重新启动Firefox才安装

  • 点击菜单按钮,点击帮助并选择关于火狐
  • 对Mozilla Firefox窗口打开。Firefox将检查更新,如果更新可用,则默认情况下会自动下载。

保持安全,大家好!