Firefox 38 heeft acht kwetsbaarheden variërend in ernst gepatcht van laag naar hoog, plus vijf andere kritieke problemen. Een deel van de blootgestelde bugs zou kunnen zijn gebruikt voor het uitvoeren van willekeurige code als ze niet op tijd werden ontdekt. De problemen kunnen zijn in verband gebracht met privilege escalatie, het omzeilen van beperkingen oorsprong, Android privacy schendingen, en het geheugen corruptie.
Een van de meest ernstige problemen in Firefox 38 betrof een out-of-bounds lezen en schrijven bug. Glitch was aanwezig in de JavaScript deelverzameling 'asm.js en het kan worden teruggevoerd op een fout bij het bepalen van de heap lengten. Een uiteindelijke winning kan leiden tot het lezen van bits van het geheugen met gevoelige informatie.
Memory Corruption mogelijk als Bugs worden uitgebuit
De ontwikkelaar die de zwakke plekken aangepakt, is Ucha Gobejishvili, die heeft geadviseerd Mozilla op veiligheidsvraagstukken. Hij geëlimineerd ook andere bugs die zou kunnen eindigen in het geheugen corruptie. Volgens Mozilla onderzoekers, elke aanvaller die net een beetje inspanning van de bugs kunnen misbruiken om willekeurige code uit te voeren maakt.
De meeste van de beschreven problemen die al zijn bevestigd kan leiden tot een crash conditie van de browser. Het grootste deel van de kwetsbaarheden werden geïdentificeerd met behulp van de Adres Sanitizer tool die meestal wordt gebruikt om het geheugen corruptie bugs onthullen.
Firefox38 DRM toevoegen
Onderzoekers hebben toegevoegd dat de update bevat ook de integratie met Adobe Content Decryption Module (CDM). CDM maakt playing-DRM verpakt inhoud in de HTML5 video tag.
De toevoeging van CDM kan worden gecategoriseerd als gebruiksvriendelijk omdat gebruikers de mogelijkheid om toegang te krijgen tot premium video content zal hebben, bijvoorbeeld, Netflix video's.
De CDM wordt uitgevoerd in een zandbak die geen interactie toelaat met gevoelige delen van het systeem en de browser. De mogelijkheid om de beschreven component verwijderd wordt ook gegeven aan de gebruiker.