Mozilla heeft een nieuwe versie van Firefox uitgebracht waarmee meerdere kwetsbaarheden in de browser zijn verholpen, waaronder een spoofinglek in de adresbalk en een bug waardoor niet werd getoond dat websites de microfoon gebruikten. Het spoofinglek, aangeduid als CVE-2022-38472, deed zich voor bij de verwerking van XSLT-foutmeldingen. Een aanvaller had hierdoor in de adresbalk een andere url kunnen tonen dan bij de geopende website hoorde. Zo zouden Firefox-gebruikers nietsvermoedend gevoelige gegevens op de verkeerde website kunnen invoeren, aldus Mozilla.
Daarnaast was er een probleem met de Androidversie van Firefox. Wanneer een website toegang tot de microfoon wil moet een gebruiker hiervoor eerst toestemming geven. Is de toestemming gegeven en maakt de website gebruik van de microfoon voor het opnemen van audio, dan verschijnt erin de browser een opname-notificatie. Het is mogelijk voor een website om deze notificatie niet te tonen (CVE-2022-38474). Zo zou een website die eerder al toestemming had gehad opnames kunnen maken zonder dat gebruikers dit doorhebben. In totaal zijn er met Firefox 104 zes kwetsbaarheden verholpen. Updaten kan via de automatische updatefunctie en Mozilla.org.
Deze posting is gelocked. Reageren is niet meer mogelijk.