Mozilla informacje o lukach w: Mozilla Firefox i Firefox ESR i Thunderbird (P23-224)

cert.pse-online.pl 1 rok temu
ProduktFirefox ESR wersje wcześniejsze od 102.15
Firefox ESR wersje wcześniejsze od 115.2
Firefox wersje wcześniejsze od 117
Thunderbird wersje wcześniejsze od 102.15
Thunderbird wersje wcześniejsze od 115.2
CVECVE-2023-4573
KrytycznośćWysoka
CVSSJeszcze nie opublikowano
OpisPodczas odbierania danych renderowania przez IPC, mStream może zostać zniszczony podczas inicjalizacji, co może doprowadzić do wykorzystania use-after-free, powodując potencjalnie możliwą do wykorzystania awarię.
UaktualnienieTak
CVECVE-2023-4574
KrytycznośćWysoka
CVSSJeszcze nie opublikowano
OpisLuka wynika z błędu use-after-free w IPC ColorPickerShownCallback. Osoba atakująca zdalnie może oszukać ofiarę, aby otworzyła specjalnie spreparowaną witrynę internetową, spowodowała uszkodzenie pamięci i wykonała dowolny kod w systemie.
Tak
CVECVE-2023-4575
KrytycznośćWysoka
CVSSJeszcze nie opublikowano
OpisLuka wynika z błędu use-after-free w IPC FilePickerShownCallback. Osoba atakująca zdalnie może oszukać ofiarę, aby otworzyła specjalnie spreparowaną witrynę internetową, spowodowała uszkodzenie pamięci i wykonała dowolny kod w systemie.
UaktualnienieTak
CVECVE-2023-4576
KrytycznośćWysoka
CVSSJeszcze nie opublikowano
OpisLuka wynika z przepełnienia liczb całkowitych w RecordedSourceSurfaceCreation. Osoba atakująca zdalnie może nakłonić ofiarę do odwiedzenia specjalnie spreparowanej witryny internetowej, wywołać przepełnienie liczby całkowitej i wykonać dowolny kod w systemie doceNiskaym. Tylko Windows
UaktualnienieTak
CVECVE-2023-4579
KrytycznośćŚrednia
CVSSJeszcze nie opublikowano
OpisLuka wynika z niedostatecznej weryfikacji danych wprowadzonych przez użytkownika podczas obsługi trwałych wyszukiwanych haseł. Zapytania wyszukiwane w domyślnej wyszukiwarce mogą sprawiać wrażenie aktualnie odwiedzanego adresu URL, jeżeli samo wyszukiwane hasło ma prawidłowy adres URL. W rezultacie osoba atakująca zdalnie może przeprowadzić atak polegający na podszywaniu się, jeżeli została złośliwie ustawiona jako domyślna wyszukiwarka.
UaktualnienieTak
CVECVE-2023-4581
KrytycznośćŚrednia
CVSSJeszcze nie opublikowano
OpisLuka wynika z braku ostrzeżenia podczas pobierania plików dodatków Excel .xll. Osoba atakująca zdalnie może nakłonić ofiarę do odwiedzenia specjalnie spreparowanej witryny internetowej i zmusić przeglądarkę do pobrania potencjalnie niebezpiecznych plików bez żadnego ostrzeżenia.
Uaktualnienie
CVECVE-2023-4584
KrytycznośćWysoka
CVSSJeszcze nie opublikowano
OpisLuka wynika z błędu granicznego podczas przetwarzania treści HTML. Osoba atakująca zdalnie może stworzyć specjalnie spreparowaną witrynę internetową, nakłonić ofiarę do jej otwarcia, wywołać uszkodzenie pamięci i wykonać dowolny kod w systemie doceNiskaym.
UaktualnienieTak
CVECVE-2023-4577
KrytycznośćWysoka
CVSSJeszcze nie opublikowano
OpisLuka wynika z błędu granicznego w JIT UpdateRegExpStatics, gdy UpdateRegExpStatics próbował uzyskać dostęp do originStringHeap. Osoba atakująca zdalnie może stworzyć specjalnie spreparowaną witrynę internetową, nakłonić ofiarę do jej otwarcia, wywołać uszkodzenie pamięci i wykonać dowolny kod w systemie doceNiskaym.
UaktualnienieTak
CVECVE-2023-4578
KrytycznośćŚrednia
CVSSJeszcze nie opublikowano
OpisLuka wynika z tego, iż aplikacja nie kontroluje prawidłowo zużycia zasobów wewnętrznych w JS::CheckRegExpSyntax. Osoba atakująca zdalnie może spowodować wyczerpanie zasobów i przeprowadzić atak typu „odmowa usługi” (DoS).
UaktualnienieTak
CVECVE-2023-4580
KrytycznośćŚrednia
CVSSJeszcze nie opublikowano
OpisLuka wynika z tego, iż powiadomienia push są zapisywane na dysku w postaci niezaszyfrowanej. Użytkownik lokalny może uzyskać dostęp do potencjalnie wrażliwych informacji.
UaktualnienieTak
CVECVE-2023-4582
KrytycznośćNiska
CVSSJeszcze nie opublikowano
OpisLuka wynika z błędu granicznego w glGetProgramiv WebGL. Osoba atakująca zdalnie może oszukać ofiarę, aby otworzyła specjalnie spreparowaną witrynę internetową, spowodowała uszkodzenie pamięci i wykonała dowolny kod w systemie doceNiskaym.
UaktualnienieTak
CVECVE-2023-4583
KrytycznośćNiska
CVSSJeszcze nie opublikowano
OpisLuka istnieje, ponieważ dane sesji prywatnej nie są czyszczone w HttpBaseChannel podczas zamykania okna prywatnego. Osoba atakująca zdalnie może uzyskać informacje z nieczyszczonej sesji.
UaktualnienieTak
CVECVE-2023-4585
KrytycznośćWysoka
CVSSJeszcze nie opublikowano
OpisLuka wynika z błędu granicznego podczas przetwarzania treści HTML. Osoba atakująca zdalnie może nakłonić ofiarę do odwiedzenia specjalnie spreparowanej witryny internetowej, spowodować uszkodzenie pamięci i wykonanie dowolnego kodu w systemie doceNiskaym.
UaktualnienieTak
Linkhttps://www.mozilla.org/en-US/security/advisories/mfsa2023-34/ https://www.mozilla.org/en-US/security/advisories/mfsa2023-36/ https://www.mozilla.org/en-US/security/advisories/mfsa2023-35/
Idź do oryginalnego materiału