Mozilla a annoncé la publication de Firefox 110 et de Firefox ESR 102.8 avec des correctifs pour 10 vulnérabilités de haute gravité.

Répertorié sous le nom de CVE-2023-25728, le premier de ces défauts de sécurité pourrait permettre à un attaquant de divulguer l'URI non censuré d'une iframe enfant, à condition qu'une redirection soit déclenchée lors de l'interaction avec cette iframe.

Les dernières versions de Firefox résolvent également une faille liée au détournement d'écran via le mode plein écran du navigateur. Répertorié sous le nom de CVE-2023-25730, le problème existe parce qu'un script d'arrière-plan pourrait invoquer le mode plein écran, puis bloquer le fil d'exécution principal pour forcer le mode indéfiniment.

L'exploitation réussie de cette vulnérabilité, explique Mozilla dans son avis, pourrait entraîner une confusion pour l'utilisateur ou des attaques d'usurpation.

Le fabricant du navigateur a également résolu un problème dans Firefox Focus, où les notifications en plein écran ne s'affichaient pas, ce qui pouvait permettre à des sites Web malveillants d'usurper le chrome du navigateur (CVE-2023-25743).

Un autre problème résolu peut permettre à un attaquant de créer un paquet de certificats PKCS 12 de manière à permettre des écritures arbitraires en mémoire via une mauvaise gestion des attributs PKCS 12 SafeBag (CVE-2023-0767).

Mozilla a également résolu une vulnérabilité dans SpiderMonkey (CVE-2023-25735) qui pouvait entraîner, dans les wrappers à compartiments croisés, le stockage d'objets d'autres compartiments dans le compartiment principal lors du wrapping d'un proxy scripté.

Trois autres vulnérabilités de haute gravité résolues pouvaient conduire à un comportement non défini via un downcast invalide (CVE-2023-25737), à des plantages de Firefox lors de l'impression sous Windows (CVE-2023-25738), ou à un use-after-free dû à une vérification manquante sur les demandes de chargement de module ayant échoué (CVE-2023-25739).

En outre, Mozilla a annoncé des correctifs pour plusieurs bogues de sécurité de la mémoire ayant un impact sur Firefox 109 et Firefox ESR 102.7, qui sont suivis collectivement comme CVE-2023-25744 et CVE-2023-25745.

Firefox 110 et Firefox ESR 102.8 ont également bénéficié des correctifs pour plusieurs vulnérabilités de gravité moyenne et faible. Les utilisateurs sont incités à mettre à jour leurs Firefox dès que possible.