Firefox 36 ra mắt với bản vá dành cho 3 lỗ hổng nghiêm trọng

Mozilla đã vá 16 lỗ hổng bảo mật trong Firefox 36 bao gồm 3 lỗ hổng nghiêm trọng.

Một trong những lỗ hổng nghiêm trọng được vá là tràn bộ đệm trong thư viện libstagefright có thể bị khai thác trong một số trường hợp. “Nhà nghiên cứu bảo mật Pantrombka đã báo cáo một lỗi tràn bộ đệm trong thư viện libstagefright khi video MP4 không hợp lệ được chạy dẫn đến việc cấp bộ đếm quá nhỏ. Điều này có khả năng làm crash trình duyệt.”.

Một lỗ hổng nghiêm trong khác liên quan đến lỗ hổng use-after-free trong thành phần indexdDB của trình duyệt. Firefox 36 cũng vá rất nhiều lỗ hổng đảm bảo an toàn bộ nhớ. “Nhà nghiên cứu bảo mật Holger Fuhrmannek báo cáo rằng khi Mozilla cập nhật trực tiếp, trình cập nhật sẽ tải file DLL từ các địa chỉ cục bộ và từ địa chỉ tạm thời của Windows. Điều này xảy ra khi trình cập nhật chạy mà không có Mozilla Maintenance Service. Có nhiều khả năng các file DLL độc hại được khởi chạy leo thang đặc quyền”.

Phiên bản mới cũng giải quyết một vài vấn đề thân thiện người dùng và một vài lỗ hổng cấp độ nguy hiểm thấp.

Threatpost