飞鱼博客 
印度计算机应急响应小组(CERT-In)向Mozilla产品用户发布了紧急警告,提醒他们注意一系列严重漏洞,这些漏洞可能使他们的设备容易受到黑客攻击。这些漏洞统称为CERT-In漏洞说明CIVN-2023-0348,对受影响设备的安全和性能构成重大风险。
CERT-In的安全报告指出,突出的漏洞源于各种编码缺陷,这些缺陷可能允许攻击者控制设备,窃取敏感数据或破坏正常操作。
已识别的漏洞包括:
webgl2blitf中的边界外内存访问ramebuffer:此漏洞允许攻击者使受影响的浏览器崩溃或执行任意代码。
MessagePort::Entangled和ReadableByteStreamQueueEntry::Buffer中的Use-after-free漏洞:这些漏洞可能使攻击者能够操纵内存并潜在地获得对敏感信息的未经授权的访问。
点击劫持权限舞会使用全屏过渡:这个问题可能允许攻击者欺骗用户,允许恶意网站访问敏感信息或在未经用户同意的情况下执行操作。
Selection API复制公司内容到X11主选择:此漏洞可能允许攻击者窃取复制到剪贴板的敏感信息。
错误解析以“III”开头的相对url:此漏洞可能允许攻击者将用户重定向到恶意网站或绕过安全措施。
Mixed-co内容资源在java中没有被阻塞script: pop-up:此漏洞可能允许攻击者加载不安全的代码网站上的内容,可能危及用户安全。
点击劫持在https - 0中加载不安全的页面only模式:此问题可能允许攻击者绕过HTTPS安全性并加载恶意co网站内容。
内存安全错误:这些错误可能允许攻击者使受影响的浏览器崩溃或执行任意代码。
通过权限升级
在ReaderMode的%READER-BYLINE%中注入HTML:此问题可能允许攻击者将恶意代码注入浏览器的ReaderMode,从而可能危及用户安全。
CERT-In指出,攻击者可以通过说服受害者访问特制网站或打开恶意附件来利用这些漏洞。
以下是受“高”漏洞影响的Mozilla产品列表:
115.5.0之前的Firefox ESR版本
IOS版本之前的Firefox浏览器
120以前的Firefox版本
115.5之前的Mozilla Thunderbird版本
同时,为了降低与这些漏洞相关的风险,CERT-IN向Mozilla产品用户提供了安全提示:
—更新Mozilla产品:立即为所有Mozilla产品安装最新的安全补丁。补丁可以通过每个产品的内置更新机制获得。
—启用自动更新:确保Mozilla产品已启用自动更新功能。这将有助于确保一旦补丁可用,设备就受到保护,免受新发现的漏洞的侵害。
—谨慎操作:打开可疑邮件或附件时要谨慎,避免点击来历不明的链接。
