0x00 漏洞概述
2022年8月23日,Mozilla基金會發布了多個產品的安全更新,修復了Firefox 、Firefox ESR 和Thunderbird中的多個安全漏洞,這些漏洞可能導致任意程式碼執行。
0x01 漏洞詳情
Mozilla本次安全更新中修復的漏洞如下:
CVE-ID | 嚴重程度 | 說明 | 影響產品 |
CVE-2022-38472 | 高危 | 通過XSLT錯誤處理進行位址列欺騙 | Firefox 104、Firefox ESR 91.13、Firefox ESR 102.2、Thunderbird 91.13、Thunderbird 102.2 |
CVE-2022-38473 | 高危 | 跨源XSLT文件將繼承父級的許可權 | Firefox 104、Firefox ESR 91.13、Firefox ESR 102.2、Thunderbird 91.13、Thunderbird 102.2 |
CVE-2022-38474 | 低危 | 在 Android 上錄製麥克風時未顯示錄製通知 | Firefox 104 |
CVE-2022-38475 | 低危 | 可以將值寫入零長度陣列 | Firefox 104 |
CVE-2022-38476 | 低危 | PK11_ChangePW 中的資料競爭,可能導致use-after-free | Firefox ESR 102.2、Thunderbird 102.2 |
CVE-2022-38477 | 高危 | 記憶體損壞漏洞,可能導致任意程式碼執行 | Firefox 104 、 Firefox ESR 102.2、Thunderbird 102.2 |
CVE-2022-38478 | 高危 | 記憶體損壞漏洞,可能導致任意程式碼執行 | Firefox 104、Firefox ESR 102.2 、 Firefox ESR 91.13、Thunderbird 91.13、Thunderbird 102.2 |
影響範圍
Mozilla Firefox < 104
Mozilla Firefox ESR < 91.13
Mozilla Firefox ESR < 102.2
Mozilla Thunderbird < 91.13
Mozilla Thunderbird < 102.2
0x02 處置建議
Mozilla已經發布了相關產品的安全更新,受影響使用者可更新到Firefox 104、Firefox ESR 91.13、Firefox ESR 102.2 、Thunderbird 91.13、Thunderbird 102.2或更高版本。
下載連結:
https://www.mozilla.org/en-US/
0x03 參考連結
https://www.cisa.gov/uscert/ncas/current-activity/2022/08/23/mozilla-releases-security-updates-firefox-firefox-esr-and
https://www.mozilla.org/en-US/security/advisories/mfsa2022-33/
0x04 更新版本
版本 | 日期 | 修改內容 |
V1.0 | 2022-08-25 | 首次發佈 |
