O Firefox lançou patches para algumas de suas vulnerabilidades altas e moderadas nos produtos Firefox, ESR (Extended Support Release) e Thunderbird. Essas vulnerabilidades foram divulgadas de forma privada e CVEs e avisos de segurança apropriados foram divulgados.
A gravidade da lista divulgada de vulnerabilidades é responsável por 4 Alto, 1 Baixo, e 8 Moderado.
Vulnerabilidades de alta gravidade:
CVE-2023-37201: Use-after-free na geração de certificados WebRTC
Esta vulnerabilidade existe devido à condição de uso após liberação, na qual um ponteiro para a memória não é limpo mesmo depois que o local da memória é liberado.
Um invasor pode usar isso para hackear o programa e usá-lo para fins maliciosos. A pontuação CVSS para esta vulnerabilidade ainda não foi publicada.
CVE-2023-37202: Potencial uso após livre de incompatibilidade de compartimento no SpiderMonkey
Esta vulnerabilidade existe no SpiderMonkey, um mecanismo JS e WebAssembly de código aberto desenvolvido pela Mozilla Foundation. O SpiderMonkey possui um recurso de encapsulamento entre compartimentos que encapsula um proxy com script.
Este recurso permite que objetos de outros compartimentos sejam armazenados no compartimento principal, levando a uma condição de uso após livre.
A pontuação CVSS e o vetor para esta vulnerabilidade ainda não foram publicados.
CVE-2023-37211: Bugs de segurança de memória corrigidos no Firefox 115, Firefox ESR 102.13 e Thunderbird 102.13
Esta é uma vulnerabilidade de corrupção de memória nas versões Firefox 114, ESR 102.13 e Thunderbird 102.13 que os invasores podem explorar para executar códigos arbitrários no sistema.
A pontuação CVSS e o vetor para esta vulnerabilidade ainda não foram publicados.
CVE-2023-37212: Bugs de segurança de memória corrigidos no Firefox 115
Esta é uma vulnerabilidade de corrupção de memória presente no Firefox 114 que os agentes de ameaças podem explorar para executar códigos arbitrários nos sistemas.
A pontuação CVSS e o vetor para esta vulnerabilidade ainda não foram publicados.
Vulnerabilidades de gravidade média
| CVE(s) | Descrição |
| CVE-2023-3482 | Bloquear todos os cookies ignorados para armazenamento local |
| CVE-2023-37203 | A API Drag and Drop pode fornecer acesso a arquivos do sistema local |
| CVE-2023-37204 | Notificação em tela cheia ocultada pelo elemento de opção |
| CVE-2023-37205 | Falsificação de URL na barra de endereço usando caracteres RTL |
| CVE-2023-37206 | Validação insuficiente de links simbólicos na API FileSystem |
| CVE-2023-37207 | Notificação em tela cheia ocultada |
| CVE-2023-37208 | Falta de aviso ao abrir arquivos Diagcab |
| CVE-2023-37209 | Use-após-livre em `NotifyOnHistoryReload` |
| CVE-2023-37210 | Prevenção de saída do modo de tela cheia |
Produtos afetados e versões fixas
As vulnerabilidades mencionadas afeta a versão 114 do Firefox. Para corrigir essas vulnerabilidades, recomenda-se que os usuários atualizem o Firefox para a versão 115.
Com mais de 392 milhões de usuários, o Firefox se destaca como um dos navegadores mais utilizados no mundo devido às suas funcionalidades e segurança. Os pesquisadores de segurança preferem o Firefox a qualquer outro navegador devido à sua usabilidade e conveniência.
