漏洞关键信息总结 漏洞概述 公告日期: 2022年7月26日 影响: 中等、低 产品: Firefox 修复版本: Firefox 103 漏洞详情 1. CVE-2022-36319: Mouse Position spoofing with CSS transforms - 报告者: Irwan Kurniawan - 影响: 中等 - 描述: 当将CSS的overflow和transform属性结合使用时,鼠标光标可能与显示的坐标不同。 - 参考资料: Bug 1737722 2. CVE-2022-36317: Long URL would hang Firefox for Android - 报告者: Irwan - 影响: 中等 - 描述: 访问URL过长的网站时,用户界面开始卡住。由于会话恢复,这可能导致永久拒绝服务。此漏洞仅影响Android的Firefox,其他操作系统不受影响。 - 参考资料: Bug 1759951 3. CVE-2022-36318: Directory indexes for bundled resources reflected URL parameters - 报告者: Gijs Kruitbosch - 影响: 中等 - 描述: 当访问以chrome: // URL作为源文本的目录列表时,一些参数被反射。 - 参考资料: Bug 1771774 4. CVE-2022-36314: Opening local ".lnk" files could cause unexpected network loads - 报告者: akucybersec - 影响: 中等 - 描述: 当打开来自本地文件系统的Windows快捷方式时,攻击者可以提供一个远程路径,这可能导致操作系统发出意外的网络请求。此漏洞仅影响Windows的Firefox,其他操作系统不受影响。 - 参考资料: Bug 1773894 5. CVE-2022-36315: Preload Cache Bypasses Subresource Integrity - 报告者: Hiroshige Hayashizaki - 影响: 低 - 描述: 加载具有子资源完整性的脚本时,具有注入能力的攻击者可以触发以前缓存的条目的重用,并带有不正确的、不同的完整性元数据。 - 参考资料: Bug 1762520 6. CVE-2022-36316: Performance API leaked whether a cross-site resource is redirecting - 报告者: Jannis Rautenstrauch - 影响: 低 - 描述: 使用Performance API时,攻击者能够注意到PerformanceEntries之间的细微差异,从而了解目标URL是否被重定向。 - 参考资料: Bug 1768583 7. CVE-2022-36320: Memory safety bugs fixed in Firefox 103 - 报告者: Mozilla开发者和社区 - 影响: 高 - 描述: Mozilla开发者和Mozilla模糊测试团队报告了Firefox 102中存在的内存安全漏洞。其中一些漏洞显示出内存损坏的证据,我们假设如果足够努力,这些漏洞可能会被利用以运行任意代码。 - 参考资料: Memory safety bugs fixed in Firefox 103 8. CVE-2022-2505: Memory safety bugs fixed in Firefox 103 and 102.1 - 报告者: Mozilla开发者和社区 - 影响: 高 - 描述: Mozilla开发者和Mozilla模糊测试团队报告了Firefox 102中存在的内存安全漏洞。其中一些漏洞显示出内存损坏的证据,我们假设如果足够努力,这些漏洞可能会被利用以运行任意代码。 - 参考资料: Memory safety bugs fixed in Firefox 103 and 102.1