Mozilla 发布了紧急安全更新,以解决影响其 Firefox 网络浏览器和 Thunderbird 电子邮件客户端的一个被积极利用的严重零日漏洞。
Mozilla 刚刚为其 Firefox 网络浏览器以及 Thunderbird 电子邮件客户端的所有受支持版本推出了安全更新。这些更新来了修复 WebP 中被网络犯罪分子积极利用的关键安全问题。
该缺陷影响 Firefox 117.0.1、Firefox ESR 115.2.1、Firefox ESR 102.15.1、Thunderbird 102.15.1 和 Thunderbird。该漏洞名为 CVE-2023-4863,已随着 Firefox 117.0.1、Firefox ESR 115.2.1、Firefox ESR 102.15.1、Thunderbird 102.15.1 和 Thunderbird 115.2.2 的发布而得到修复。现已提供更新,并且一如既往,我们建议您尽快安装它们。
另请阅读–Mozilla 最终公布了 Windows 7、8 和 8.1 上对 Firefox 的支持终止日期
该漏洞特别允许攻击者通过精心设计的 HTML 页面远程执行越界内存写入,导致任意代码执行。 Mozilla 尚未披露利用此漏洞进行攻击的详细信息,但公民实验室研究人员发现该漏洞的事实表明,该漏洞被用于针对知名人士(例如记者、政客或持不同政见者)的针对性攻击。
注意Firefox 117.0.1不仅仅是一个安全更新,因为它还修复了开源 Web 浏览器中的许多问题。该版本修复了影响链接打开的两个错误。第一个导致最近关闭的选项卡菜单中的“重新打开所有选项卡”选项有时无法打开所有选项卡。在第二种情况下,在 macOS 上的 Firefox 外部激活的链接有时无法在 Firefox 中打开。
另一个修复还解决了影响扩展的问题。有时,扩展程序仍在运行时会被中断。当扩展使用“长时间运行任务的事件页面”时,可能会发生这种情况。最后,其他修复涉及书签菜单可见性问题、某些站点上的时区检测问题以及使用 WebAssembly 异常处理的站点上的音频工作集问题。
