Được theo dõi là CVE-2023-37201, vấn đề đầu tiên trong số các vấn đề nghiêm trọng cao được mô tả là lỗ hổng sử dụng sau khi miễn phí trong quá trình tạo chứng chỉ WebRTC.
Một dự án mã nguồn mở, WebRTC cho phép giao tiếp thời gian thực trong các trình duyệt web và ứng dụng di động, thông qua các giao diện lập trình ứng dụng (API).
Mozilla cho biết “Kẻ tấn công có thể đã kích hoạt điều kiện sử dụng sau khi miễn phí khi tạo kết nối WebRTC qua HTTPS.”
Lỗ hổng nghiêm trọng thứ hai, CVE-2023-37202, được mô tả là một vấn đề tiềm ẩn sau khi sử dụng miễn phí từ sự không khớp ngăn trong JavaScript mã nguồn mở và công cụ WebAssembly SpiderMonkey.
Nhà sản xuất trình duyệt cho biết bản cập nhật Firefox mới nhất cũng giải quyết các lỗi an toàn bộ nhớ nghiêm trọng cao có thể dẫn đến việc thực thi mã tùy ý. Các lỗ hổng được theo dõi chung là CVE-2023-37211 và CVE-2023-37212.
Firefox 115 cũng bao gồm các bản vá cho tám lỗ hổng nghiêm trọng trung bình dẫn đến các trang web độc hại đặt trình theo dõi mà không được phép, thực thi mã tùy ý, tấn công giả mạo, giả mạo URL, tải xuống các tệp có chứa mã độc, điều kiện sử dụng sau khi miễn phí và lừa người dùng gửi dữ liệu nhạy cảm đến các trang web độc hại.
Tuần này, Mozilla cũng thông báo rằng Firefox ESR 102.13 và Thunderbird 102.13 đã được phát hành với các bản vá cho năm lỗ hổng, bao gồm các lỗi an toàn bộ nhớ và sử dụng miễn phí nghiêm trọng đã được giải quyết trong Firefox 115.
