موزیلا بهتازگی فایرفاکس ۶۹ را با وصلههایی برای ۲۰ آسیبپذیری ازجمله یک اشکال اجرای کد با شدت بحرانی، منتشر کرده است. این مسأله در حقیقت زمانی به وجود میآید که فایرفاکس توسط برنامهی دیگری راهاندازی شود و پارامترهای خط فرمان مربوط به ورود به درستی پاکسازی نشوند. این مسأله بهطور عادی زمانی اتفاق خواهد افتاد که کاربر روی یک لینک در یک برنامهی چت کلیک میکند.
مهاجمی که به دنبال بهرهبرداری از این آسیبپذیری است میتواند لینکهای مخربی ایجاد کند که برای نوشتن یک فایل گزارش در یک مکان دلخواه مانند پوشهی Startup ویندوز مورد استفاده قرار گیرد. این آسیبپذیری با شناسهی CVE-2019-11751 ردیابی میشود و تنها فایرفاکس را در سیستم عاملهای ویندوز تحت تأثیر قرار میدهد.
مرکز امنیت اینترنت (CIS) در یک مشاورهنامه بیان میکند که بهرهبرداری موفقیتآمیز از این آسیبپذیری، امکان اجرای کد دلخواه را فراهم میکند. بسته به امتیازات مربوط به کاربر، یک مهاجم میتواند برنامههایی را نصب کند، دادهها را مشاهده کند یا تغییر دهد و یا حذف کند، یا حسابهای جدیدی را با همهی مجوزهای کاربری ایجاد کند. CIS همچنین بیان میکند که این آسیبپذیریها خطر زیادی برای نهادهای دولتی و تجاری بزرگ و متوسط دارند، اما تنها در نهادهای دولتی و تجاری کوچک تأثیر متوسطی دارند.
فایرفاکس ۶۹ نیز ۱۱ آسیبپذیری با شدت بالا، ۵ اشکال با خطر متوسط و ۳ آسیبپذیری با شدت پایین را رفع میکند. مسائل با شدت بالایی که در این نسخه از مرورگر رفع شدهاند، آسیبپذیری CVE-2019-11746 (یک آسیبپذیری استفاده پس از آزادسازی که هنگام دستکاری عناصر ویدئویی اتفاق میافتد)، CVE-2019-11744 (XSS که از برخی عناصر HTML ناشی میشود) و CVE-2019-11752 (یک آسیبپذیری استفاده پس از آزادسازی که در امکان حذف یک مقدار کلیدی IndexedDB و تلاش برای استخراج آن در زمان تبدیل وجود دارد) هستند.
سایر آسیبپذیریها شامل نقض سیاست منبع یکسان (CVE-2019-11742) هستند که امکان سرقت تصاویر، دستکاری یک فایل و ارتقاء امتیاز در Mozila Maintenance Service (CVE-2019-11736) و ارتقاء امتیاز Mozila Maintenance Service در یک مکان نصب سفارشی فایرفاکس را فراهم میکند. موزیلا همچنین امکان فرار از یک جعبهی شنی از طریق Firefox Sync (CVE-2019-9812) را رفع کرده است و addons.mozilla.org و accounts.firefox.com را در فرآیند خود ایزوله کرده است تا از دستکاری مخرب (CVE-2019-11741) جلوگیری کند.
مسائل با شدت بالایی که باقی ماندهاند، اشکالهای امنیت حافظه هستند که برخی از آنها بر Firefox ESR 68.1 و Firefox ESR 68.1 و Firefox 60.9 تأثیر میگذارند و CVE-2019-11734 تنها فایرفاکس ۶۸ را تحت تأثیر قرار میدهد. آسیبپذیریهایی با شدت متوسط که در این نسخه از مرورگر رفع شدهاند، CVE-2019-11743، CVE-2019-11748، CVE-2019-11749، CVE-2019-5849 و CVE-2019-11750 هستند. سه مسأله با شدت پایین نیز CVE-2019-11737، CVE-2019-11738 و CVE-2019-11747 هستند.