A versão 62 do Firefox e a 60.2 do Firefox ESR receberam diversos patches de segurança que é necessário aplicar. Estas falhas permitem a execução de código remota e, desta forma, a obtenção de acesso por parte do atacante ao sistema.

Falhas corrigidas:

CVE-2018-12376: corrupção de memória que pode ser explorada de forma a que os atacantes possam correr código remotamente. Corrigida na versão Firefox 62 e Firefox ESR 60.2

CVE-2018-12375: outra corrupção de memória. Também corrigida no Firefox 62.

CVE-2018-12377: designada por use-after-free, residente na driver dos tempos de atualização das drivers. Basicamente quando se fecha o sistema e os timers são atualizados em certas circunstâncias, esse timer é apagado, levando a que a aplicação "crashe".

CVE-2018-12378: vulnerabilidade use-after-free caso o índice do IndexedDB seja apagado quando o Javascript é usado, e aí resulta no crash da aplicação.

CVE-2018-12379: o atualizador do Mozilla usa um ficherio MAR, que normalmente tem os atalhos dos relatórios gerados pelo programa; a falha reside no processamento do formato MAR, que contém um ficheiro com um grande nome e que leva a uma escrita "fora dos limites", gerando o crash da aplicação.

CVE-2017-16541: quando se tira partido da funcionalidade auto-montagem com o autofs, as definições de proxy do browser podem ser ultrapassadas através da criação do sistema de ficheiro local.

CVE-2018-12381: arrastar e largar mensagens de email do Outlook leva a navegação da página.

CVE-2018-12382: spoofing da barra de endereço com o URI em Javascript, tanto no Firefox como no Android

CVE-2018-12383: configurando uma password mestre no firefox não apaga as passwords previamente guardadas e desencriptadas.

Caso queiras obter mais informações sobre estas e outras vulnerabilidades reportadas, dirige-te aqui: https://www.mozilla.org/en-US/security/advisories/