Firefox 38 ha patched otto vulnerabilità variano in gravità da basso ad alto, più cinque altre questioni critiche. Alcuni dei bug a vista potrebbe essere stato sfruttato per l'esecuzione di codice arbitrario se non sono stati scoperti in tempo. I problemi potrebbero sono stati associati con aumento dei privilegi, bypassando le restrizioni di origine, violazioni della privacy Android, e la corruzione della memoria.
Uno dei più gravi problemi in Firefox 38 interessato un out-of-bounds leggere e scrivere bug. L'inconveniente era presente nel sottoinsieme ‘asm.js’ JavaScript e potrebbe essere fatta risalire a un errore nel definire le lunghezze di heap. Un eventuale sfruttamento potrebbe causare la lettura dei bit della memoria contenente dati sensibili.
Danneggiamento della memoria possibile Se bug sfruttati
Lo sviluppatore che ha parlato delle vulnerabilità è Ucha Gobejishvili, che è stato consulenza Mozilla sulle questioni relative alla sicurezza. Inoltre ha eliminato altri bug che potrebbero finire in corruzione della memoria. Secondo i ricercatori di Mozilla, qualsiasi attaccante che fa solo un piccolo sforzo potrebbe sfruttare il bug per eseguire codice arbitrario.
La maggior parte dei problemi descritti che sono già fissati potrebbe portare a una condizione crollo del browser. La maggior parte delle vulnerabilità sono state identificate con l'aiuto del Indirizzo Sanitizer strumento che viene per lo più utilizzato per rivelare i bug di corruzione della memoria.
Firefox38 per aggiungere DRM
I ricercatori hanno aggiunto che l'aggiornamento include anche l'integrazione con Adobe Content modulo di decodifica (CDM). CDM permette di gioco contenuto DRM-avvolto nel tag video HTML5.
L'aggiunta di CDM può essere classificato come user-friendly in quanto gli utenti avranno la possibilità di accedere a contenuti video premium, per esempio, video Netflix.
Il CDM viene eseguito in una sandbox che non permette l'interazione con le parti sensibili sia del sistema e il browser. L'opzione per rimuovere il componente descritto è dato anche all'utente.