新闻链接：http://www.seehand.com/news/675.html
   新闻时间：2015-05-16
   新闻正文：火狐浏览器Firefox 38修复了13个漏洞，附带DRM支持

Mozilla公司修复了Firefox 38（火狐浏览器）中的13个安全漏洞，包括5个致命缺陷。新版本的浏览器同时也包含一个特性，即允许DRM-支持的视频内容在Firefox的使用，这是一个颇具争议性的决定。DRM（数字版权管理）是用于限制优质内容消费的技术的通用名称，它在有漏洞的系统中很常见，而Mozilla公司官方代表也承认，允许DRM覆盖内容在Firefox浏览器中的运用其实是一个艰难的决定。

“一年前我们宣布开始为支持Firefox中的一个组件做准备和实施工作，它允许在HTML5视频标签下数字版权管理中的内容覆盖。由于我们的使命以及DRM的封闭特性，这其实是一个艰难的决定。正如我们当时所对外解释的，我们允许DRM是为了向我们的用户提供他们所需要的浏览器品质，以及允许它们持续获得优质的视频内容。“我们并不认为DRM是很理想的方案，但它是目前想要观看受欢迎的部分内容的唯一方式。” Mozilla公司的Denelle Dixon-Thayer在公告中写道。

“今天，火狐浏览器整合了Adobe内容解析模块（CDM）以回放DRM覆盖内容。CDM可在你更新或安装火狐浏览器后很快从Adobe中下载得到，并将在你第一次使用Adobe CDM与网站互动时被激活。”

为了减轻潜在用户对这个决定的抵触，Mozilla公司同时也推出了一个不含CDM模块的浏览器版本Firefox 38。该公司还设计了一个包围CDM的沙箱。

在安全补丁方面,Firefox 38包括五个关键缺陷的修复,以及五个高危漏洞和两个中等评级的漏洞修复。最关键的错误是浏览器解析XML压缩时的缓冲区溢出。

“安全研究院Ucha Gobejishvili使用地址监测工具找到了一个解析XML内容时发生的缓冲区溢出。这是由于处理大量XML数据时缓冲区的创建和修改方式中的错误引起的漏洞。这会导致潜在的可利用崩溃。” Mozilla公司发言人表示。

与此同时，还存在SVG内容和CSS的缓冲区溢出，以及一些文本处理操作过程中发生的释放后使用(use-after-free)的代码安全漏洞。Firefox 38也修复少量的内存安全问题

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)