Mozilla verhelpt Firefox-kwetsbaarheid die gebruiker systeemrechten geeft

[Captain Kirk]

Mozilla heeft vandaag een nieuwe versie van Firefox uitgebracht waarin meerdere kwetsbaarheden zijn verholpen, waaronder een beveiligingslek dat een gebruiker systeemrechten kan geven. Het plan voor het automatisch downloaden van bestanden is uitgesteld naar de volgende Firefox-versie.

Met Firefox 97 zijn een dozijn kwetsbaarheden in de browser verholpen. In de updater-service van de Windowsversie van Firefox zit een kwetsbaarheid, aangeduid als CVE-2022-22753, waardoor een gebruiker schrijftoegang tot een willekeurige directory kan krijgen. Hierdoor kan de gebruiker uiteindelijk systeemrechten krijgen. De impact van dit beveiligingslek is beoordeeld met "high".

Dat geldt ook voor een andere kwetsbaarheid (CVE-2022-22754) in alle Firefox-versies waardoor een malafide extensie via een update allerlei nieuwe permissies kan krijgen, zonder dat de gebruiker het dialoogvenster te zien krijgt waarin om toestemming wordt gevraagd.

Verder was Mozilla van plan om met Firefox 97 een aanpassing door te voeren waardoor bestanden automatisch worden gedownload, zonder dat gebruikers nog een dialoogvenster te zien krijgen. Deze aanpassing is nu doorgeschoven naar Firefox 98. Updaten naar de nieuwste Firefox-versie kan via de automatische updatefunctie of Mozilla.org.

 

bron: https://www.security.nl