从提供的 Bugzilla Web 页面截图中,可以提取到以下与漏洞的关键信息: 漏洞描述: - 漏洞类型: Clickjacking - 影响组件: Firefox 浏览器中的权限提示(例如相机、麦克风和地理位置)在全屏模式下会被劫持。 - 漏洞编号: CVE-2023-6206 修复状态及过程: - 状态: 已修复并验证(VERIFIED FIXED) - 时间线: - 开始: 2 年前 - 关闭: 1 年前 - 应用的 Firefox 版本: - Firefox 119.0b6 (64-bit) - 解决方案测试在 Firefox 120.0b9、Firefox 120、Firefox Esr115 关键的修复措施: - 扩展了安全延迟机制 - 调整了 PopUp 通知面板的显示逻辑 - 当进入或离开全屏模式时,增加了额外的权限提示延迟 漏洞影响的软件版本和平台: - 主要影响多个版本的 Firefox 浏览器,包括Firefox版本 120 和 115(ESR版本15.5)。 - 确认了这个问题在 macOS 的特定环境下无法复现。 相关文件及演示材料: - 多个视频附件(如 和 ), 描述了如何复现该漏洞的视频文件。 - HTML 示例(如 )用于展示如何触发该漏洞。 - POC 代码和测试用例用于确认漏洞。 严重性及影响: - 标记为高优先级(P1)和高严重性(S2) - 对用户的潜在风险在于敏感权限(如地理位置、麦克风和相机)可能被滥用。 补丁审批和回归风险评估: - 审批过程详细记录,包括对修复补丁的代码审查。 - 评估为低回归风险,且测试覆盖率较好。