Raposa de fogo tem entre 9% e 16% do uso mundial como um navegador “desktop” e o segundo navegador da web mais popular do mundo. A versão mais recente do “Firefox 54.0Lançado com 32 vulnerabilidades corrigidas críticas e altas críticas e algumas das vulnerabilidades levam ao travamento do navegador.
Esta vulnerabilidade foi relatada por muitos pesquisadores de segurança individuais e algumas das vulnerabilidades descobertas pelos desenvolvedores e pela comunidade Mozilla.
Firefox 54.0
A Mozilla está chamando o Firefox 54.0 “O melhor Firefox de todos os tempos”, desde a nova versão Lançamento com futuros de vários processos de conteúdo, um processo de interface do usuário e um processo de aceleração de GPU.
Esta nova versão contém vários processos de conteúdo, melhorando a estabilidade e o desempenho (uma guia ruim não abrandará o resto do seu computador)
- Novos futuros adicionados, incluindo, Simplificado o botão de download e o painel de status do download e Suporte adicionado para vários processos de conteúdo.
- Alterações na nova versão, Movida a pasta de favoritos do celular para o menu principal de favoritos para facilitar o acesso
Para executar sites complexos ainda mais rapidamente, a Mozilla alterou múltiplos Processos do sistema operacional.
O Firefox antigo usava um único processo para executar todas as guias em um navegador. Navegadores modernos dividem a carga em vários processos independentes.
Resultou em uma falha do navegador
Essas vulnerabilidades levam ao travamento do navegador inteiro.
CVE-2017-5472:
Uma vulnerabilidade no carregador de quadros leva ao travamento do navegador enquanto gera novamente o layout CSS ao acessar o nó de árvore inexistente.
CVE-2017-7749:
Uma vulnerabilidade de uso após liberação ao usar um URL incorreto durante o recarregamento de uma documentação. Isso resulta em uma falha potencialmente explorável.
CVE-2017-7750:
Essa vulnerabilidade também leva à janela antiga Crash, Durante a Operação de Controle de Vídeo Referida por
CVE-2017-7751
Uma vulnerabilidade de uso após livre com ouvintes e espectadores de conteúdo que resulta em uma falha potencialmente explorável.
CVE-2017-7756
erros de log de cabeçalhos para XML HTTP Requests (XHR). Isso pode resultar em uma falha potencialmente explorável.
CVE-2017-7757
IndexedDB quando um de seus objetos é destruído na memória enquanto um método nele ainda está sendo executado.
Leia também Scanner SSL rápido e completo para encontrar configurações incorretas que afetam os servidores TLS / SSL – uma análise detalhada
Escalonamento de privilégios
Essas são vulnerabilidades críticas de escalação de privilégios que foram corrigidas pelo Mozilla.
CVE-2017-7760
Esta vulnerabilidade indica manipulação de arquivos no diretório de instalação e escalação de privilégios ao manipular o Mozilla Maintenance Service. Esta vulnerabilidade afetou apenas Windows SO, pois isso precisa de privilégio local para acessar.
CVE-2017-7761:
Essa alta vulnerabilidade crítica leva à exclusão dos arquivos e aumenta o privilégio usando o serviço de manutenção Mozilla do helper.exe.
CVE-2017-7766:
Um ataque usando a manipulação do conteúdo updater.ini, usado pelo Mozilla Windows Atualizador e escalonamento de privilégios através do Mozilla Maintenance Service para permitir a execução arbitrária de arquivos
CVE-2017-7767
Para sobrescrever arquivos arbitrários com dados indesejados usando o Mozilla Windows Atualizador usando a Manutenção invocada por um usuário não privilegiado, afetado apenas por Windows do utilizador.
CVE-2017-7768
O Serviço de Manutenção executa com acesso privilegiado, ignorando as proteções do sistema contra privilégios do usuário para ler 32 bytes de qualquer arquivo arbitrário no sistema local convencendo o serviço de que está lendo um arquivo de status fornecido pelo Mozilla Windows Atualizador.
Leia também Milhões de tempo Aplicativo de malware perigoso baixado
Todas as vulnerabilidades corrigidas são explicadas no Firefox Blog