内存安全周报第117期 | Firefox 107修补了有严重危害的漏洞

新闻中心 > 新闻详情

2022 年 11 月 20 日

安芯网盾内存安全周报专栏，希望帮助企业更好的理解内存安全相关问题。让用户更好的认识、发现问题，防止外部入侵等威胁、有效的对系统进行安全设计，以实时防御并终止无文件攻击、0day /Nday攻击、缓冲区溢出攻击、基于内存的攻击等。

一、Firefox 107修补了有严重危害的漏洞（11.16）

Mozilla宣布发布Firefox 107。该流行网络浏览器的最新版本修补了大量漏洞。

详细情况

Mozilla宣布发布Firefox 107。该流行网络浏览器的最新版本修补了大量漏洞。Firefox 107修补的安全漏洞共有19个被分配了CVE编号，其中9个被评为“高危”。

这些高危的漏洞包括可能导致信息泄露的漏洞、可被用于欺骗攻击的全屏通知绕过，以及释放后使用漏洞引起的崩溃或任意代码执行。

Mozilla开发人员发现了多个内存安全漏洞都已经被分配了CVE编号以及“高危”评级。

Firefox 107版本修补的中危漏洞可能导致安全绕过、跨站点跟踪、代码执行、通过文件下载泄露、击键泄漏和欺骗攻击。Firefox修补的低危漏洞与安全异常和欺骗相关。

某些漏洞仅对Android或所有Unix的操作系统上的Firefox有影响。

102.5版本发布后，Thunderbird 中也修补了许多安全漏洞。

Firefox不像Chrome那样，总被威胁行为者盯上，但它太受欢迎了，也是一个诱人的攻击对象。

今年早些时候，用户收到警告，表示Firefox已经有两个漏洞在攻击中被利用。

参考链接

二、F5 修复了其产品中2个高危的远程代码执行漏洞（11.16）

网络安全公司Rapid7的研究人员发现了影响F5产品的几个漏洞和其他潜在的安全问题。

详细情况

Rapid7 研究人员在运行CentOS定制发行版的F5 BIG-IP和BIG-IQ设备中发现了几个漏洞。专家们还发现了几个绕过安全控制，但安全供应商F5认为这些漏洞不是可利用的漏洞。

专家发现的漏洞有：

CVE-2022-41622 是通过影响 BIG-IP 和 BIG-IQ 产品的跨站点请求伪造 (CSRF) 进行的未经身份验证的远程代码执行。

“攻击者可能会诱骗有资源管理者权限及以上的用户，通过iControl SOAP中的基本身份验证来执行关键操作。攻击者只能通过控制面板（而不是数据面板）来利用此漏洞。供应商发布的公告中提到：“该漏洞被利用后，可能会危及整个系统”。

CVE-2022-41800 是一种经过身份验证的远程代码执行，通过驻留在设备模式 iControl REST 中的 RPM 软件包描述文件注入。在设备模式下，具有有效凭据并被分配了管理员角色的经过身份验证的用户可以绕过设备模式的限制。

公告中还提到：“在设备模式下，具有有效用户凭据并分配了管理员角色的经过身份验证的用户可能能够绕过设备模式限制。这是控制面板的问题;没有数据面板暴露”。“设备模式通过特定许可证强制执行，也可以在有单个虚拟群集多处理（vCMP）访客实例时启用或禁用。”

上述漏洞被评为高危级别。

2022年8月18日，Rapid7向F5报告了这两个漏洞，并帮助供应商修复这两个漏洞。

以下是F5因不可利用而拒绝绕过的安全控制：

ID1145045–通过错误的 UNIX 套接字权限提升本地权限（CWE-269）

ID1144093–通过不正确的文件上下文绕过 SELinux （CWE-732）

ID1144057–通过更新脚本中的命令注入绕过 SELinux（CWE-78）

参考链接

试用申请