A Mozilla anunciou atualizações de segurança para o Firefox e o Thunderbird, visando corrigir 20 vulnerabilidades, incluindo várias questões de segurança da memória. O Firefox 121 foi lançado com correções para 18 vulnerabilidades, cinco das quais têm uma classificação de gravidade alta.
A mais crítica é a CVE-2023-6856, um bug de estouro de buffer no heap em WebGL, a API JavaScript para renderização de gráficos interativos no navegador. “O método WebGL DrawElementsInstanced estava suscetível a um estouro de buffer no heap quando usado em sistemas com o driver Mesa VM.
Esse problema poderia permitir que um invasor realizasse execução remota de código e escapasse do sandbox”, explica a Mozilla em seu comunicado. A Mozilla também resolveu a CVE-2023-6865, um bug que potencialmente expõe dados não inicializados no EncryptingOutputStream, que poderia ser explorado para escrever dados em um disco local, impactando potencialmente o modo de navegação privada.
O Firefox 121 também resolve oito falhas de gravidade média, incluindo estouro de buffer no heap, uso após liberação e problemas de escape do sandbox. As cinco vulnerabilidades restantes são classificadas como ‘baixa’ gravidade.
A Mozilla não menciona que nenhuma dessas vulnerabilidades tenha sido explorada em ataques. Informações adicionais podem ser encontradas na página de avisos de segurança da Mozilla.