Bản cập nhật Firefox vá 10 lỗ hổng nghiêm trọng 

Lỗ hổng có số hiệu CVE-2023-25728, có thể gây lộ lọt URI chưa được chỉnh sửa của iframe (thành phần của một HTML element hỗ trợ việc nhúng hình ảnh, HTML video hay website khác vào trang web) trẻ em khi kích hoạt chuyển hướng tương tác với iframe đó.

Các bản phát hành Firefox mới nhất cũng xử lý một lỗ hổng liên quan đến chiếm quyền điều khiển màn hình thông qua chế độ toàn màn hình của trình duyệt. Lỗ hổng có số hiệu CVE-2023-25730 tồn tại do một tập lệnh nền có khả năng gọi chế độ toàn màn hình sau đó chặn luồng (thread) chính để đặt chế độ này vô thời hạn. Mozilla giải thích rằng, việc khai thác thành công lỗ hổng bảo mật có thể gây sự nhầm lẫn cho người dùng hoặc các cuộc tấn công giả mạo.

Nhà sản xuất trình duyệt cũng đã xử lý một lỗ hổng có số hiệu CVE-2023-25743 trong Firefox Focus, nơi các thông báo toàn màn hình không được hiển thị, có nguy cơ cho phép các trang web độc hại giả mạo trình duyệt Chrome.

Một lỗ hổng khác có số hiệu CVE-2023-0767 cũng đã được xử lý. Lỗ hổng này có thể cho phép kẻ tấn công tạo gói chứng chỉ PKCS 12 để ghi bộ nhớ tùy ý thông qua việc xử lý sai các thuộc tính PKCS 12 SafeBag.

Mozilla còn giải quyết một lỗ hổng bảo mật trong SpiderMonkey là CVE-2023-25735. Lỗ hổng này sẽ kích hoạt tính năng sử dụng miễn phí sau khi mở gói proxy.

Ngoài ra, Mozilla cũng vá ba lỗ hổng nghiêm trọng khác trong tuần này, bao gồm: CVE-2023-25737, có thể dẫn đến hành vi không xác định thông qua quy trình ngược (dowcast) không hợp lệ; CVE-2023-25738 gây những sự cố cho Firefox khi in trên Windows; CVE-2023-25739 thiếu kiểm tra các yêu cầu tải mô-đun không thành công.

Cùng với đó, Mozilla đã công bố các bản vá cho nhiều lỗi an toàn bộ nhớ ảnh hưởng đến Firefox 109 và Firefox ESR 102.7, bao gồm CVE-2023-25744 và CVE-2023-25745.

Ngoài ra, Firefox 110 và Firefox ESR 102.8 cũng vá một số lỗ hổng nghiêm trọng trung bình và thấp./.