Indyjski zespół reagowania na awarie komputerowe (CERT-In) wydał pilne ostrzeżenie dla użytkowników produktów Mozilla w związku z serią krytycznych luk w zabezpieczeniach, które mogą narazić ich urządzenia na ataki hakerów. Luki te, wspólnie oznaczone jako CERT-In Vulnerability Note CIVN-2023-0348, stanowią poważne ryzyko dla bezpieczeństwa i wydajności urządzeń, których dotyczą.

W nocie bezpieczeństwa CERT-In wskazano, że wyróżnione luki wynikają z różnych błędów w kodzie, które mogą pozwolić atakującym na przejęcie kontroli nad urządzeniami, kradzież wrażliwych danych lub zakłócenie normalnego działania.

Zidentyfikowane luki obejmują:

• Dostęp poza granicami pamięci w blitFramebuffer WebGL2: ta luka może pozwolić atakującym na awarię przeglądarek, których dotyczy problem, lub wykonanie dowolnego kodu.
• Luki w zabezpieczeniach MessagePort::Entangled i ReadableByteStreamQueueEntry::Buffer umożliwiające wykorzystanie po zwolnieniu: te luki mogą umożliwić atakującym manipulowanie pamięcią i potencjalnie uzyskanie nieautoryzowanego dostępu do poufnych informacji.
• Monity o pozwolenie na przechwytywanie kliknięć przy użyciu przejścia na pełny ekran: ten problem może umożliwiać atakującym nakłonienie użytkowników do udzielenia złośliwym witrynom internetowym pozwolenia na dostęp do poufnych informacji lub wykonanie działań bez ich zgody.
• Selection API kopiujący zawartość do podstawowego wyboru X11: ta luka może pozwolić atakującym na kradzież poufnych informacji skopiowanych do schowka.
• Nieprawidłowe analizowanie względnych adresów URL rozpoczynających się od „III”: ta luka może pozwolić atakującym na przekierowanie użytkowników do złośliwych witryn internetowych lub ominięcie zabezpieczeń.
• Zasoby o mieszanej zawartości nie są blokowane w javascript: wyskakujące okienko: ta luka może umożliwić atakującym ładowanie niezabezpieczonych treści na stronach internetowych, co może zagrozić bezpieczeństwu użytkowników.
• Clickjacking w celu załadowania niezabezpieczonych stron w trybie tylko HTTPS: ten problem może umożliwić atakującym ominięcie zabezpieczeń HTTPS i załadowanie złośliwej zawartości na stronach internetowych.
• Błędy bezpieczeństwa pamięci: te błędy mogą pozwolić atakującym na awarię przeglądarek, których dotyczy problem, lub wykonanie dowolnego kodu.
• Eskalacja uprawnień poprzez
• Wstrzykiwanie HTML w %READER-BYLINE% trybu ReaderMode: ten problem może umożliwić atakującym wstrzyknięcie złośliwego kodu do trybu ReaderMode przeglądarki, co może zagrozić bezpieczeństwu użytkownika.

CERT-In zauważa, że ​​napastnicy mogą wykorzystać te luki, namawiając ofiary do odwiedzenia specjalnie spreparowanych witryn internetowych lub otwarcia szkodliwych załączników.

Dotknięte urządzenia

Oto lista produktów Mozilli dotkniętych lukami „Wysokimi”:
– Mozilla Firefox ESR w wersjach wcześniejszych niż 115.5.0
– Mozilla Firefox dla wersji IOS starszych niż 120
– Wersje przeglądarki Mozilla Firefox starsze niż 120
– Wersje Mozilla Thunderbird starsze niż 115.5

Jak chronić swoje urządzenie

Tymczasem, aby zminimalizować ryzyko związane z tymi lukami, CERT-IN udzielił wskazówek dotyczących bezpieczeństwa użytkownikom produktów Mozilla:

– Aktualizuj produkty Mozilli: natychmiast zainstaluj najnowsze poprawki zabezpieczeń dla wszystkich produktów Mozilli. Poprawki są dostępne poprzez wbudowane mechanizmy aktualizacji każdego produktu.

– Włącz automatyczne aktualizacje: Upewnij się, że automatyczne aktualizacje są włączone dla produktów Mozilli. Pomoże to zapewnić ochronę urządzeń przed nowo odkrytymi lukami, gdy tylko zostaną udostępnione poprawki.

– Zachowaj ostrożność: zachowaj ostrożność podczas otwierania podejrzanych wiadomości e-mail lub załączników i unikaj klikania łączy od nieznanych nadawców. Mogą one zostać wykorzystane przez osoby atakujące do wykorzystania oprogramowania v