WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Mozilla sửa lỗi Firefox cho phép nhận đặc quyền quản trị viên Windows
Mozilla đã phát hành bản vá giải quyết lỗi hổng có mức độ nghiêm trọng cao được tìm thấy trong Dịch vụ bảo trì Mozilla.
Dịch vụ Bảo trì Mozilla là một dịch vụ tùy chọn của Firefox và Thunderbird giúp cập nhật ứng dụng.
Dịch vụ này cung cấp cho người dùng Firefox trải nghiệm cập nhật liền mạch, nơi họ không còn phải nhấp vào 'Có' trong hộp thoại Kiểm soát tài khoản người dùng Windows (UAC) trước khi cập nhật trình duyệt web hoặc ứng dụng email.
Mozilla đã sửa lỗi bảo mật leo thang đặc quyền được theo dõi là CVE-2022-22753 với việc phát hành Firefox 97.
Việc khai thác thành công trên các hệ thống chưa được vá có thể cho phép những kẻ tấn công nâng cấp đặc quyền trên tài khoản NT AUTHORITY \ SYSTEM (cấp đặc quyền cao nhất trên hệ thống Windows).
Mozilla giải thích: "Lỗi Time-of-Check Time-of-Check tồn tại trong Dịch vụ Bảo trì (Trình cập nhật) có thể bị lạm dụng để cấp cho Người dùng quyền ghi vào một thư mục tùy ý. Điều này có thể được sử dụng để nâng cấp quyền truy cập HỆ THỐNG". Firefox 97 giải quyết nhiều lỗi an toàn bộ nhớ do cộng đồng và nhà phát triển Mozilla tìm thấy trong Firefox 96 và Firefox ESR 91.5.
Bản cập nhật cũng đi kèm với các tính năng mới như hỗ trợ kiểu thanh cuộn mới trên Windows 11 và các bản sửa lỗi, bao gồm các cải tiến về tải phông chữ hệ thống macOS giúp mở và chuyển sang tab mới nhanh hơn.
Firefox 97 cũng loại bỏ hỗ trợ tạo PostScript trực tiếp để in trên Linux, mặc dù tính năng PostScript vẫn có sẵn như một tùy chọn được hỗ trợ. Vào tháng 12, Mozilla cũng đã sửa lỗi hỏng bộ nhớ nghiêm trọng ảnh hưởng đến các thư viện mật mã Dịch vụ An ninh Mạng (NSS) đa nền tảng.
Dịch vụ Bảo trì Mozilla là một dịch vụ tùy chọn của Firefox và Thunderbird giúp cập nhật ứng dụng.
Dịch vụ này cung cấp cho người dùng Firefox trải nghiệm cập nhật liền mạch, nơi họ không còn phải nhấp vào 'Có' trong hộp thoại Kiểm soát tài khoản người dùng Windows (UAC) trước khi cập nhật trình duyệt web hoặc ứng dụng email.
Mozilla đã sửa lỗi bảo mật leo thang đặc quyền được theo dõi là CVE-2022-22753 với việc phát hành Firefox 97.
Việc khai thác thành công trên các hệ thống chưa được vá có thể cho phép những kẻ tấn công nâng cấp đặc quyền trên tài khoản NT AUTHORITY \ SYSTEM (cấp đặc quyền cao nhất trên hệ thống Windows).
Mozilla giải thích: "Lỗi Time-of-Check Time-of-Check tồn tại trong Dịch vụ Bảo trì (Trình cập nhật) có thể bị lạm dụng để cấp cho Người dùng quyền ghi vào một thư mục tùy ý. Điều này có thể được sử dụng để nâng cấp quyền truy cập HỆ THỐNG". Firefox 97 giải quyết nhiều lỗi an toàn bộ nhớ do cộng đồng và nhà phát triển Mozilla tìm thấy trong Firefox 96 và Firefox ESR 91.5.
Bản cập nhật cũng đi kèm với các tính năng mới như hỗ trợ kiểu thanh cuộn mới trên Windows 11 và các bản sửa lỗi, bao gồm các cải tiến về tải phông chữ hệ thống macOS giúp mở và chuyển sang tab mới nhanh hơn.
Firefox 97 cũng loại bỏ hỗ trợ tạo PostScript trực tiếp để in trên Linux, mặc dù tính năng PostScript vẫn có sẵn như một tùy chọn được hỗ trợ. Vào tháng 12, Mozilla cũng đã sửa lỗi hỏng bộ nhớ nghiêm trọng ảnh hưởng đến các thư viện mật mã Dịch vụ An ninh Mạng (NSS) đa nền tảng.
Theo: Bleepingcomputer
Chỉnh sửa lần cuối bởi người điều hành: