Mozilla memperbaiki bug Firefox yang memungkinkan Anda mendapatkan hak istimewa admin Windows

Post a Comment
Mozilla merilis pembaruan keamanan untuk mengatasi kerentanan hak istimewa tingkat keparahan tinggi yang ditemukan di Layanan Pemeliharaan Mozilla.
Layanan Pemeliharaan Mozilla adalah layanan Firefox dan Thunderbird opsional yang memungkinkan pembaruan aplikasi di latar belakang.
Ini memberi pengguna Firefox pengalaman pembaruan tanpa batas di mana mereka tidak lagi diharuskan mengklik 'Ya' di dialog Kontrol Akun Pengguna Windows (UAC) sebelum memperbarui browser web atau klien email mereka.
Mozilla memperbaiki kelemahan keamanan eskalasi hak istimewa yang dilacak sebagai CVE-2022-22753 hari ini, dengan merilis Firefox 97.
Eksploitasi yang berhasil pada sistem yang tidak ditambal dapat membuat penyerang meningkatkan hak istimewa mereka ke hak akun NT AUTHORITY\SYSTEM (tingkat hak istimewa tertinggi pada sistem Windows).
"Bug Time-of-Check Time-of-Use ada di Layanan Pemeliharaan (Updater) yang dapat disalahgunakan untuk memberi Pengguna write access ke arbitary directory. Ini dapat digunakan untuk meningkatkan ke akses SISTEM," jelas Mozilla.
"Bug ini hanya mempengaruhi Firefox di Windows. Sistem operasi lain tidak terpengaruh."
Mozilla juga mengatakan bahwa Firefox 97 mengatasi beberapa bug keamanan memori yang ditemukan oleh pengembang dan komunitas Mozilla di Firefox 96 dan Firefox ESR 91.5.
"Beberapa bug ini menunjukkan bukti kerusakan memori dan kami menganggap bahwa dengan upaya yang cukup, beberapa di antaranya dapat dieksploitasi untuk menjalankan kode arbitrary," kata Mozilla.

Firefox 97 juga menambahkan fitur baru, peningkatan

Rilis hari ini juga hadir dengan fitur-fitur baru seperti dukungan untuk gaya baru scrollbar di Windows 11 dan perbaikan, termasuk peningkatan pemuatan font sistem macOS yang membuat pembukaan dan peralihan ke tab baru lebih cepat.
Firefox 97 juga menghapus dukungan untuk menghasilkan PostScript secara langsung untuk pencetakan di Linux, meskipun pencetakan ke printer PostScript masih tersedia sebagai opsi yang didukung.
Pada bulan Desember, Mozilla juga memperbaiki bug kerusakan memori kritis yang memengaruhi lintas platform Network Security Services (NSS) cryptography libraries.
Pada sistem yang menjalankan versi Firefox yang rentan, eksploitasi dapat menyebabkan buffer overflow berbasis heap (tumpukan), dengan dampak mulai dari crash program dan eksekusi kode arbitrary hingga melewati perangkat lunak keamanan jika eksekusi kode diperoleh.
Mozilla mengatakan pada saat itu bahwa semua pengguna PDF dan klien email yang menggunakan versi NSS yang dirilis sejak Oktober 2012 untuk verifikasi tanda tangan diyakini akan terpengaruh.

Baca

Post a Comment

Subscribe Our Newsletter