Produkt | Firefox ESR wersje wcześniejsze od 102.15 Firefox ESR wersje wcześniejsze od 115.2 Firefox wersje wcześniejsze od 117 Thunderbird wersje wcześniejsze od 102.15 Thunderbird wersje wcześniejsze od 115.2 |
CVE | CVE-2023-4573 |
Krytyczność | Wysoka |
CVSS | Jeszcze nie opublikowano |
Opis | Podczas odbierania danych renderowania przez IPC, mStream może zostać zniszczony podczas inicjalizacji, co może doprowadzić do wykorzystania use-after-free, powodując potencjalnie możliwą do wykorzystania awarię. |
Uaktualnienie | Tak |
CVE | CVE-2023-4574 |
Krytyczność | Wysoka |
CVSS | Jeszcze nie opublikowano |
Opis | Luka wynika z błędu use-after-free w IPC ColorPickerShownCallback. Osoba atakująca zdalnie może oszukać ofiarę, aby otworzyła specjalnie spreparowaną witrynę internetową, spowodowała uszkodzenie pamięci i wykonała dowolny kod w systemie. |
Tak | |
CVE | CVE-2023-4575 |
Krytyczność | Wysoka |
CVSS | Jeszcze nie opublikowano |
Opis | Luka wynika z błędu use-after-free w IPC FilePickerShownCallback. Osoba atakująca zdalnie może oszukać ofiarę, aby otworzyła specjalnie spreparowaną witrynę internetową, spowodowała uszkodzenie pamięci i wykonała dowolny kod w systemie. |
Uaktualnienie | Tak |
CVE | CVE-2023-4576 |
Krytyczność | Wysoka |
CVSS | Jeszcze nie opublikowano |
Opis | Luka wynika z przepełnienia liczb całkowitych w RecordedSourceSurfaceCreation. Osoba atakująca zdalnie może nakłonić ofiarę do odwiedzenia specjalnie spreparowanej witryny internetowej, wywołać przepełnienie liczby całkowitej i wykonać dowolny kod w systemie doceNiskaym. Tylko Windows |
Uaktualnienie | Tak |
CVE | CVE-2023-4579 |
Krytyczność | Średnia |
CVSS | Jeszcze nie opublikowano |
Opis | Luka wynika z niedostatecznej weryfikacji danych wprowadzonych przez użytkownika podczas obsługi trwałych wyszukiwanych haseł. Zapytania wyszukiwane w domyślnej wyszukiwarce mogą sprawiać wrażenie aktualnie odwiedzanego adresu URL, jeżeli samo wyszukiwane hasło ma prawidłowy adres URL. W rezultacie osoba atakująca zdalnie może przeprowadzić atak polegający na podszywaniu się, jeżeli została złośliwie ustawiona jako domyślna wyszukiwarka. |
Uaktualnienie | Tak |
CVE | CVE-2023-4581 |
Krytyczność | Średnia |
CVSS | Jeszcze nie opublikowano |
Opis | Luka wynika z braku ostrzeżenia podczas pobierania plików dodatków Excel .xll. Osoba atakująca zdalnie może nakłonić ofiarę do odwiedzenia specjalnie spreparowanej witryny internetowej i zmusić przeglądarkę do pobrania potencjalnie niebezpiecznych plików bez żadnego ostrzeżenia. |
Uaktualnienie | |
CVE | CVE-2023-4584 |
Krytyczność | Wysoka |
CVSS | Jeszcze nie opublikowano |
Opis | Luka wynika z błędu granicznego podczas przetwarzania treści HTML. Osoba atakująca zdalnie może stworzyć specjalnie spreparowaną witrynę internetową, nakłonić ofiarę do jej otwarcia, wywołać uszkodzenie pamięci i wykonać dowolny kod w systemie doceNiskaym. |
Uaktualnienie | Tak |
CVE | CVE-2023-4577 |
Krytyczność | Wysoka |
CVSS | Jeszcze nie opublikowano |
Opis | Luka wynika z błędu granicznego w JIT UpdateRegExpStatics, gdy UpdateRegExpStatics próbował uzyskać dostęp do originStringHeap. Osoba atakująca zdalnie może stworzyć specjalnie spreparowaną witrynę internetową, nakłonić ofiarę do jej otwarcia, wywołać uszkodzenie pamięci i wykonać dowolny kod w systemie doceNiskaym. |
Uaktualnienie | Tak |
CVE | CVE-2023-4578 |
Krytyczność | Średnia |
CVSS | Jeszcze nie opublikowano |
Opis | Luka wynika z tego, iż aplikacja nie kontroluje prawidłowo zużycia zasobów wewnętrznych w JS::CheckRegExpSyntax. Osoba atakująca zdalnie może spowodować wyczerpanie zasobów i przeprowadzić atak typu „odmowa usługi” (DoS). |
Uaktualnienie | Tak |
CVE | CVE-2023-4580 |
Krytyczność | Średnia |
CVSS | Jeszcze nie opublikowano |
Opis | Luka wynika z tego, iż powiadomienia push są zapisywane na dysku w postaci niezaszyfrowanej. Użytkownik lokalny może uzyskać dostęp do potencjalnie wrażliwych informacji. |
Uaktualnienie | Tak |
CVE | CVE-2023-4582 |
Krytyczność | Niska |
CVSS | Jeszcze nie opublikowano |
Opis | Luka wynika z błędu granicznego w glGetProgramiv WebGL. Osoba atakująca zdalnie może oszukać ofiarę, aby otworzyła specjalnie spreparowaną witrynę internetową, spowodowała uszkodzenie pamięci i wykonała dowolny kod w systemie doceNiskaym. |
Uaktualnienie | Tak |
CVE | CVE-2023-4583 |
Krytyczność | Niska |
CVSS | Jeszcze nie opublikowano |
Opis | Luka istnieje, ponieważ dane sesji prywatnej nie są czyszczone w HttpBaseChannel podczas zamykania okna prywatnego. Osoba atakująca zdalnie może uzyskać informacje z nieczyszczonej sesji. |
Uaktualnienie | Tak |
CVE | CVE-2023-4585 |
Krytyczność | Wysoka |
CVSS | Jeszcze nie opublikowano |
Opis | Luka wynika z błędu granicznego podczas przetwarzania treści HTML. Osoba atakująca zdalnie może nakłonić ofiarę do odwiedzenia specjalnie spreparowanej witryny internetowej, spowodować uszkodzenie pamięci i wykonanie dowolnego kodu w systemie doceNiskaym. |
Uaktualnienie | Tak |
Link | https://www.mozilla.org/en-US/security/advisories/mfsa2023-34/ https://www.mozilla.org/en-US/security/advisories/mfsa2023-36/ https://www.mozilla.org/en-US/security/advisories/mfsa2023-35/ |