Mozilla publikuje nowe aktualizacje zabezpieczeń dla swoich produktów. (P23-007)

cert.pse-online.pl 1 rok temu
ProduktFirefox: 100.0 – 110.0.1
Firefox ESR: 102.0 – 102.8.0
Firefox for Android: 100.1.0 – 110.1.0
Numer CVECVE-2023-28159
KrytycznośćŚrednia
OpisLuka istnieje, ponieważ powiadomienie pełnoekranowe mogło zostać ukryte dzięki wyskakujących okienek pobierania. Zdalny atakujący może przeprowadzić atak polegający na fałszowaniu.
Numer CVECVE-2023-25751
KrytycznośćWysoka
OpisLuka w zabezpieczeniach występuje z powodu nieprawidłowej weryfikacji danych wejściowych podczas unieważniania kodu JIT podczas wykonywania iteratora. Osoba atakująca zdalnie może nakłonić ofiarę do odwiedzenia specjalnie spreparowanej witryny internetowej i wykonania dowolnego kodu w systemie docelowym.
Numer CVECVE-2023-28164
KrytycznośćŚrednia
OpisLuka w zabezpieczeniach występuje z powodu nieprawidłowego przetwarzania danych dostarczonych przez użytkownika podczas przeciągania adresu URL z elementu iframe pochodzącego z różnych źródeł. Osoba atakująca zdalnie może sfałszować zawartość strony.
Numer CVECVE-2023-28162
KrytycznośćWysoka
OpisLuka istnieje z powodu nieprawidłowego rzutowania w dół w AudioWorklets. Osoba atakująca zdalnie może nakłonić ofiarę do otwarcia specjalnie spreparowanej strony internetowej i wykonania dowolnego kodu w systemie.
Numer CVECVE-2023-25752
KrytycznośćŚrednia
OpisLuka w zabezpieczeniach występuje z powodu warunku granicznego podczas uzyskiwania dostępu do ograniczonych strumieni. Osoba atakująca zdalnie może wywołać błąd odczytu poza zakresem i odczytać zawartość pamięci w systemie.
Numer CVECVE-2023-28176
KrytycznośćWysoka
OpisLuka w zabezpieczeniach występuje z powodu błędu granicznego podczas przetwarzania zawartości HTML. Osoba atakująca zdalnie może stworzyć specjalnie spreparowaną stronę internetową, nakłonić ofiarę do jej otwarcia, spowodować uszkodzenie pamięci i wykonać dowolny kod w systemie docelowym.
Numer CVECVE-2023-25748
KrytycznośćŚrednia
OpisLuka wynika ze sposobu wyświetlania powiadomienia na pełnym ekranie. Zdalny atakujący może ukryć pełnoekranowe powiadomienie dzięki monitu z długim opisem, aby przeprowadzić atak polegający na fałszowaniu.
Numer CVECVE-2023-25749
KrytycznośćWysoka
OpisLuka w zabezpieczeniach występuje z powodu niewłaściwych ograniczeń dostępu podczas korzystania z intencji. Osoba atakująca zdalnie może nakłonić ofiarę do odwiedzenia specjalnie spreparowanej witryny internetowej i uruchomienia z przeglądarki dowolnych aplikacji zainstalowanych na urządzeniu bez żadnego monitu.
Numer CVECVE-2023-28161
KrytycznośćŚrednia
OpisLuka wynika ze sposobu obsługi uprawnień jednorazowych na karcie przeglądarki. jeżeli tymczasowe uprawnienia „jednorazowe”, takie jak możliwość korzystania z Aparatu, zostały nadane dokumentowi ładowanemu przy użyciu pliku: URL, uprawnienie to utrzymywało się na tej karcie dla wszystkich innych dokumentów ładowanych z pliku: URL.
Numer CVECVE-2023-28177
KrytycznośćWysoka
OpisLuka w zabezpieczeniach występuje z powodu błędu granicznego podczas przetwarzania zawartości HTML. Osoba atakująca zdalnie może stworzyć specjalnie spreparowaną stronę internetową, nakłonić ofiarę do jej otwarcia, spowodować uszkodzenie pamięci i wykonać dowolny kod w systemie docelowym.
AktualizacjaTAK
Linkhttps://www.mozilla.org/en-US/security/advisories/mfsa2023-10/ https://www.mozilla.org/en-US/security/advisories/mfsa2023-09/
Idź do oryginalnego materiału