موزیلا در بولتن امنیتیش خبر از اصلاح 13 آسیب پذیری در فایرفاکس داده. از این 13 تا 7 تاش با شدت بالا و 6 موردش شدت متوسط رو دارن.
آژانس های امنیت سایبری در آمریکا و کانادا ، از کاربران خواستن که این بروزرسانی رو انجام بدن تا تحت تاثیر این آسیب پذیری ها قرار نگیرن.
آسیب پذیری CVE-2023-28159 :
این آسیب پذیری فقط نسخه اندروید رو تحت تاثیر قرار میده. نوتیفیکیشن های تمام صفحه ای ممکنه با استفاده از پاپ آپ های دانلود مخفی بشن. این باعث سردرگمی کاربر و حملات جعل میشه. شدت اون بالاست.
آسیب پذیری CVE-2023-25748 :
این آسیب پذیری فقط نسخه اندروید رو تحت تاثیر قرار میده. نوتیفیکیشن های تمام صفحه ای ممکنه با استفاده از promptها با توضیحات طولانی، مخفی بشن. این باعث سردرگمی کاربر و حملات جعل میشه. شدت اون بالاست.
آسیب پذیری CVE-2023-25749 :
این آسیب پذیری فقط نسخه اندروید رو تحت تاثیر قرار میده. برنامه های اندرویدی دارای آسیب پذیری با استفاده از مروگر و از طریق Intentها قابل اجرا هستن. در نسخه اصلاح شده، هم اکنون قبل اجرا باید توسط کاربر تایید بشه. شدت اون بالاست.
آسیب پذیری CVE-2023-25750 :
حافظه کش ServiceWorker در یه شرایط خاصی در حالتی که مرورگر بصورت پرایویت اجرا میشه، ممکنه منجر به افشای فایل سیستم بشه. شدت اون بالاست.
آسیب پذیری CVE-2023-25751 :
آسیب پذیری منجر به ایجاد کد نادرست در طول کامپایل JIT میشه. این آسیب پذیری منجر به کرش و DoS میشه. شدت اون بالاست.
آسیب پذیری CVE-2023-28160 :
در ریدایرکت به فایل web extension در دسترس عموم ، URL ممکنه به local path تفسیر بشه و اطلاعات حساس رو افشا کنه. شدت اون متوسط هستش.
آسیب پذیری CVE-2023-28164 :
درگ کردن یه URL از یه cross-origin iframe که در حین درگ کردن حذف میشه منجر به سردرگمی و حملات جعل میشه. شدت اون متوسط هستش.
آسیب پذیری CVE-2023-28161 :
پرمیشن هایی که بصورت one-time به یه فایل محلی داده میشه، به سایر فایلهای محلی که توسط همون تب باز میکنید هم داده میشه. مثلا اگه یه فایل html رو باز کنید که نیاز به پرمیشن برای دسترسی به وبکمتون داره، هر فایل محلی که بعد از اون باز کنید، این پرمیشن بدون اینکه کاربر متوجه بشه، به ارث میبره. شدت اون متوسط هستش.
آسیب پذیری CVE-2023-28162:
در حین اجرای AudioWorklet ممکنه کدها یه نوع رو به یه نوع دیگه، نوع نامعتبر یا نوع پویا تبدیل کنه. این میتونه منجر به کرش بشه. شدت اون متوسط هستش.
آسیب پذیری CVE-2023-25752 :
هنگام دسترسی به throttled stream، تعداد بایت های موجود در تابع فراخوان ، از لحاظ اینکه در محدوده باشه ، بررسی نمیشه که میتونه باعث بشه کدهای بعدی آسیب پذیر یا نادرست باشن. شدت اون متوسطه.
آسیب پذیری CVE-2023-28163 :
آسیب پذیری فقط نسخه ویندوزی رو تحت تاثیر قرار میده. هنگام دانلود فایل از طریق Save As dialog ، اگه نام فایل حاوی متغییرهای محیطی باشه، مثلا %USERNAME% یا %PUBLIC%، ویندوز اونارو تفسیر میکنه در نتیجه مثلا یه سایتی میتونه از این آسیب پذیری سوء استفاده کنه و فایلی رو برای دانلود ارائه بده که در یه جای دیگه ذخیره بشه. شدت این آسیب پذیری متوسطه.
آسیب پذیری CVE-2023-28176 :
آسیب پذیری از نوع خرابی حافظه هستش و احتمالا امکان اجرای کد از راه دور رو میده. شدت اون بالاست و نسخه های Firefox 110 و Firefox ESR 102.8 رو تحت تاثیر قرار میده.
آسیب پذیری CVE-2023-28177 :
آسیب پذیری از نوع خرابی حافظه هستش و احتمالا امکان اجرای کد از راه دور رو میده. شدت اون بالاست و نسخه های Firefox 110 رو تحت تاثیر قرار میده.