Mozilla为Firefox与Thunderbird打上零日漏洞补丁

Mozilla为Firefox与Thunderbird打上零日漏洞补丁Mozilla在本周二发布的一份公告中说："我们发现这个问题在其他产品中被广泛利用。打开恶意WebP图像可能导致内容进程中的堆缓冲区溢出。"Mozilla在Firefox117.0.1、FirefoxESR115.2.1、FirefoxESR102.15.1、Thunderbird102.15.1和Thunderbird115.2.2中解决了这个零日漏洞。尽管有关WebP漏洞在攻击中被利用的具体细节仍未披露，但这一关键漏洞已在实际场景中被滥用。因此，强烈建议用户安装更新版本的Firefox和Thunderbird，以保护系统免受潜在攻击。正如Mozilla在今天的安全公告中透露的那样，CVE-2023-4863零日漏洞还影响到使用易受攻击的WebP代码库版本的其他软件。其中之一就是GoogleChrome浏览器，该浏览器已于周一针对这一漏洞打了补丁，当时Google警告说"意识到CVE-2023-4863的漏洞存在于外部"。Chrome浏览器的安全更新正在向稳定版和扩展稳定版渠道的用户推出，预计将在未来几天或几周内覆盖整个用户群。苹果公司的安全工程与架构（SEAR）团队和多伦多大学蒙克学院（UniversityofToronto'sMunkSchool）的公民实验室（TheCitizenLab）于9月6日报告了这一漏洞。CitizenLab的安全研究人员还曾发现并披露过零日漏洞，这些漏洞经常被政府附属威胁机构领导的有针对性的间谍活动所利用。这些间谍活动通常针对面临重大攻击风险的个人，包括记者、反对派政治家和持不同政见者。本周四，苹果公司还修补了CitizenLab标记的两个零点漏洞，这两个零点漏洞被称为BLASTPASS漏洞利用链的一部分，可将NSOGroup的PegASUS雇佣军间谍软件部署到已打补丁的iPhone上。今天，BLASTPASS补丁还被回传至旧版iPhone机型，包括iPhone6s机型、iPhone7和第一代iPhoneSE。...PC版：https://www.cnbeta.com.tw/articles/soft/1383697.htm手机版：https://m.cnbeta.com.tw/view/1383697.htm

Chrome、Firefox、Brave 和 Edge 刚刚修复了一个被利用的 0day

Chrome、Firefox、Brave和Edge刚刚修复了一个被利用的0dayWebP编解码器中发现了重大漏洞，促使包括Google和Mozilla在内的主要浏览器加快发布更新来解决该问题。这个新发现的漏洞，被标识为CVE-2023-4863，涉及到WebP图像格式中的堆缓冲区溢出。Chrome和Firefox等浏览器使用WebP来进行高效的图像压缩。对这个漏洞的恶意利用可能会危及数百万互联网用户的安全。包含修复程序的软件版本号如下：Chrome版本116.0.5846.187（Mac/Linux）；Chrome版本116.0.5845.187/.188（Windows）:Firefox117.0.1；FirefoxESR102.15.1；FirefoxESR115.2.1；Thunderbird102.15.1；Thunderbird115.2.2Edge版本116.0.1938.81Brave浏览器版本1.57.64请尽快更新到以上新版本。——

Mozilla终于透露了Firefox浏览器对Windows 7、8和8.1的终止支持日期

Mozilla终于透露了Firefox浏览器对Windows7、8和8.1的终止支持日期尽管Edge和Chrome几乎是第一个弃船的，不过，Mozilla基金会还是决定继续支持Windows7和8/8.1上的Firefox用户。然而，这不可能永远持续下去，所以经过几个月考虑之后，Mozilla终于准备揭示支持结束的日期。根据Mozilla支持官方网站上发布的一份文件，不愿意升级到Windows10或11的用户可以使用Firefox115扩展支持版本（ESR），最晚可以到2024年9月。Mozilla承诺将继续提供安全更新15个月，从而有足够的时间来计划升级过程。以下是该公司如何解释其决定的：微软在2023年1月结束了对Windows7、8和8.1的官方支持。不支持的操作系统得不到安全更新，而且有已知的漏洞。由于没有微软的官方支持，为过时的操作系统维护Firefox浏览器对Mozilla来说成本很高，对用户来说很危险。虽然Windows7和8/8.1的市场份额相对较小（合计约5%），但Mozilla表示，有相当多的人继续使用Firefox浏览器，从使用现已失效的操作系统的电脑上访问互联网。对Mozilla来说，让测试机多活几个月"并不是世界末日"，但这家非营利公司不能无限期地运行它们。当然，再一次结束支持对死忠的Windows7粉丝来说可能毫无意义。毕竟，有些人仍然在使用WindowsXP，就像没有人知道的那样。不过，值得提醒的是，使用不再接收安全更新的联网PC并不是一个好主意，用户有可能遭遇各种利用未修补的安全漏洞的恶意软件。...PC版：https://www.cnbeta.com.tw/articles/soft/1362553.htm手机版：https://m.cnbeta.com.tw/view/1362553.htm

＃安全: Mozilla 计划下周二释出更新修复中间人攻击漏洞

＃安全:Mozilla计划下周二释出更新修复中间人攻击漏洞Mozilla计划于9月20日（下周二）释出更新修复Firefox能被中间人利用向目标用户发送恶意代码的漏洞。漏洞与Mozilla实现的证书绑定（Certificatepinning）保护机制有关。证书绑定设计确保浏览器只接受特定域名或子域名的特定证书，防止伪造证书，即使那些证书是浏览器信任的CA签发的。但研究人员发现Mozilla的实现有漏洞，允许中间人攻击者使用浏览器信任的CA签发伪造的Mozilla扩展addons.mozilla.org服务器证书，向目标用户传送恶意扩展更新。有能力入侵CA签发伪造证书的攻击者通常被认为有国家在背后支持。Tor项目在周五对这一漏洞发出了警告，Tor浏览器是基于Firefox。http://arstechnica.com/security/2016/09/mozilla-checks-if-firefox-is-affected-by-same-malware-vulnerability-as-tor/

【Mozilla：已修复火狐浏览器和Thunderbird零日漏洞】

【Mozilla：已修复火狐浏览器和Thunderbird零日漏洞】2023年09月13日04点58分9月13日消息，火狐浏览器开发公司、互联网巨头Mozilla周二发布了安全更新，以解决Firefox（火狐）和Thunderbird中的一个严重的零日漏洞，该漏洞已被积极用于野外攻击。官方已在Firefox117.0.1、FirefoxESR115.2.1、FirefoxESR102.15.1、Thunderbird102.15.1和Thunderbird115.2.2中解决该问题，并建议用户及时升级。

Mozilla发布了桌面版和移动版的Firefox 49。桌面版主要新特性包括：移除了Firefox Hello；更新Firef

Mozilla发布了桌面版和移动版的Firefox49。桌面版主要新特性包括：移除了FirefoxHello；更新Firefox登录管理器，允许HTTPS页面使用保存的HTTP登录数据；阅读模式允许用户调整文本的宽度、行距、字体以及主题，加入了朗读功能；改进了无硬件加速的操作系统的视频播放性能；about:memory增加了字体内存使用报告；多进程架构支持少数兼容的扩展，Mozilla是从Firefox48开始逐步启用多进程架构，初步测试显示浏览器的总体响应提升400%；更新开发者工具，等等。https://www.mozilla.org/en-US/firefox/49.0/releasenotes/