Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Firefox 117 behebt 4 Schwachstellen in der Speicherverwaltung
Rohan Timalsina
14. September 2023. TuxCare-Expertenteam
Während der Beta-Phase führte Firefox 117 eine aufregende neue Funktion ein, die bereits in anderen Browsern vorhanden war - eineintegrierte Website-Übersetzungsmaschine, die alle Übersetzungen lokal in Ihrem Webbrowser ausführt und dabei die Sicherheit im Auge behält. Bedauerlicherweise hat es diese lang erwartete Funktion nicht in die endgültige Version geschafft.
Die neueste Version von Firefox 117 bringt neue, aufregende Funktionen und Verbesserungen, einschließlich der Behebung von 13 Sicherheitslücken, die von Sicherheitsforschern gemeldet wurden.
Fünf hochgradige Sicherheitslücken behoben
CVE-2023-4573
In IPC CanvasTranslator wurde ein Speicherfehlverhalten entdeckt. Wenn mStream initialisiert wurde und Rendering-Daten über IPC erhielt, konnte er zerstört werden, was zu einem Use-after-free-Fehler führte, der möglicherweise zu einem ausnutzbaren Absturz führen konnte.
CVE-2023-4574
In IPC ColorPickerShownCallback wurde eine Schwachstelle in Bezug auf Speicherbeschädigung gefunden. Beim Aufbau eines Callbacks über IPC zur Anzeige des Color Picker-Fensters gab es ein potenzielles Problem, bei dem viele der gleichen Callbacks gleichzeitig generiert und zerstört werden konnten, wenn einer dieser Callbacks beendet wurde. Dies konnte zu einem Use-after-free-Fehler führen, der wiederum zu einem potenziell ausnutzbaren Absturz führte.
CVE-2023-4575
In IPC FilePickerShownCallback wurde eine Schwachstelle in Bezug auf Speicherbeschädigung gefunden. Bei der Einrichtung eines IPC-Callbacks zum Starten des File Picker-Fensters bestand die Möglichkeit, dass mehrere identische Callbacks gleichzeitig generiert wurden. Wenn einer dieser Rückrufe abgeschlossen wurde, konnten alle gleichzeitig zerstört werden. Dieses Szenario konnte zu einer Use-after-free-Situation führen, die einen Absturz zur Folge haben konnte.
CVE-2023-4577
Eine Speicherkorruptionsschwachstelle in JIT UpdateRegExpStatics. Wenn die Funktion UpdateRegExpStatics versuchte, auf den initialStringHeap zuzugreifen, bestand die Möglichkeit, dass dieser Heap bereits vor dem Eintritt in die Funktion garbage collected worden war. Diese Situation konnte zu einem ausnutzbaren Absturz führen.
CVE-2023-4576
Eine weitere hochgradige Integer-Überlaufschwachstelle mit der Bezeichnung "CVE-2023-4576" wurde ebenfalls in RecordedSourceSurfaceCreation entdeckt. Diese Schwachstelle betrifft jedoch nur Firefox unter Windows, andere Betriebssysteme sind nicht betroffen.
Darüber hinaus wurden acht weitere Schwachstellen gemeldet und behoben, die als mittelschwer bis schwerwiegend eingestuft werden. Vollständige Angaben zu allen behobenen Sicherheitslücken finden Sie in der MFSA 2023-34.
Neue Änderungen
Für Linux-Nutzer scheint die Version 117 von Mozilla Firefox den Bildschirmfreigabe-Indikator auf Wayland-Systemen entfernt zu haben. Mozilla gab an, dass der Bildschirmfreigabe-Indikator auf verschiedenen Plattformen, darunter auch Wayland, nicht richtig funktioniert. Außerdem stellten sie fest, dass viele beliebte Linux-Desktop-Umgebungen bereits ihre eigenen Bildschirmfreigabe-Indikatoren anbieten, was ihre Entscheidung beeinflusste, diese aus Firefox zu entfernen.
Zusätzlich zu diesen Änderungen gibt es Verbesserungen wie z. B. einen verbesserten Bildlauf für YouTube-Videolisten bei Verwendung eines Bildschirmlesegeräts und eine erweiterte Unterstützung für das automatische Ausfüllen von Kreditkarten in den Sprachumgebungen IT, ES, AT, BE und PL.
Sie können Mozilla Firefox 117 derzeit direkt von Mozillas Download-Server herunterladen. Wenn Sie Firefox jedoch über die Repositories Ihrer Distribution installiert haben, ist es ratsam zu warten, bis das offizielle Update verfügbar ist, bevor Sie fortfahren.
Zu den Quellen für diesen Artikel gehört ein Artikel von 9to5Linux.
