Mozilla исправила две критические уязвимости в Firefox и Thunderbird

2022-05-23 3591 комментарии
20 мая 2022 года организация Mozilla выпустила обновления для браузеров Firefox и Firefox ESR. Команда разработки Thunderbird также выпустила патч для почтового клиента. Обновления безопасности исправляют критические уязвимости в Firefox и Thunderbird

Обновления получили следующие продукты:

Установка обновлений проходит в автоматическом режиме. Пользователи Firefox могут перейти в Меню > Справка > О Firefox для ручной проверки доступности обновлений. Браузер скачает новую версию и сразу установит ее. Для завершения установки потребуется перезапуск браузера.

Пользователи Thunderbird могут перейти в Справка > О Thunderbird. Thunderbird проверит обновления и установит доступные пакеты.

Примечание: Firefox для Android обновляется через Google Play. Возможности ускорить доставку обновлений на Android через Google Play не предусмотрено.

В официальных заметках к выпуску значится одна запись, подтверждающее, что это обновление безопасности. Mozilla опубликовала рекомендации по безопасности для всех затронутых версий веб-браузера, в которых содержится дополнительная информация о проблемах:

В обновлении исправлены две проблемы безопасности, которые имеют критический уровень серьезности — наивысший и возможных. О них сообщил Mozilla Манфред Пол через инициативу Trend Micro Zero Day Initiative.

  • CVE-2022-1802: Загрязнение прототипа в реализации ожидания верхнего уровня. Если злоумышленнику удается повредить методы объекта Array в JavaScript с помощью загрязнения прототипа, то он может выполнять код JavaScript в привилегированном контексте.
  • CVE-2022-1529: ненадежные входные данные, используемые при индексировании объектов JavaScript, приводили к загрязнению прототипа. Злоумышленник мог отправить сообщение родительскому процессу, содержимое которого использовалось для двойного индексирования в объект JavaScript, что приводило к загрязнению прототипа и выполнению кода JavaScript в привилегированном родительском процессе.

Связанные отчеты об ошибках ограничены. Mozilla не упоминает об атаках, нацеленных на эти уязвимости.

Пользователи Firefox и Thunderbird могут захотеть быстро обновить свои приложения, чтобы защитить их от атак, направленных на эти проблемы.

© .
Комментарии и отзывы

Нашли ошибку?

Новое на сайте