Mozilla publikuje nowe aktualizacje zabezpieczeń dla swoich produktów. (P23-043)

cert.pse-online.pl 1 rok temu
ProduktFirefox — wersje wcześniejsze niż 112 Firefox dla Androida – wersje wcześniejsze niż 112 Firefox ESR — wersje wcześniejsze niż 102.10 Focus dla Androida – wersje wcześniejsze niż 112 Wersje Thunderbirda wcześniejsze niż 102.10
Numer CVECVE-2023-29543
KrytycznośćWysoka
OpisLuka w zabezpieczeniach występuje z powodu błędu użycia po zwolnieniu w debugowaniu interfejsów API. Osoba atakująca zdalnie może nakłonić ofiarę do odwiedzenia specjalnie spreparowanej witryny internetowej, wywołania błędu użycia po zwolnieniu i wykonania dowolnego kodu w systemie.
Numer CVECVE-2023-1945
KrytycznośćŚrednia
OpisLuka występuje z powodu błędu granicznego w interfejsie API Bezpiecznego przeglądania. Osoba atakująca zdalnie może stworzyć specjalnie spreparowaną stronę internetową, nakłonić ofiarę do jej otwarcia, spowodować uszkodzenie pamięci i wykonać dowolny kod w systemie docelowym.
Numer CVECVE-2023-29551
KrytycznośćWysoka
OpisLuka w zabezpieczeniach występuje z powodu błędu granicznego podczas przetwarzania zawartości HTML. Osoba atakująca zdalnie może stworzyć specjalnie spreparowaną stronę internetową, nakłonić ofiarę do jej otwarcia, spowodować uszkodzenie pamięci i wykonać dowolny kod w systemie docelowym.
Numer CVECVE-2023-29550
KrytycznośćWysoka
OpisLuka w zabezpieczeniach występuje z powodu błędu granicznego podczas analizowania zawartości HTML. Osoba atakująca zdalnie może stworzyć specjalnie spreparowaną stronę internetową, nakłonić ofiarę do jej otwarcia, spowodować uszkodzenie pamięci i wykonać dowolny kod w systemie docelowym.
Numer CVECVE-2023-29544
KrytycznośćWysoka
OpisLuka w zabezpieczeniach występuje z powodu błędu granicznego podczas przetwarzania zawartości HTML. Osoba atakująca zdalnie może stworzyć specjalnie spreparowaną stronę internetową, nakłonić ofiarę do jej otwarcia, spowodować uszkodzenie pamięci i wykonać dowolny kod w systemie docelowym.
Numer CVECVE-2023-29542
KrytycznośćŚrednia
OpisLuka wynika z niewłaściwej obsługi znaku nowej linii w nazwie pliku. Atakujący zdalnie może ominąć mechanizmy bezpieczeństwa rozszerzeń plików, które zastępują niebezpieczne rozszerzenia plików, takie jak .lnk, przez .download i potencjalnie zagrażają systemowi, którego dotyczy problem.
Numer CVECVE-2023-29541
KrytycznośćŚrednia
OpisLuka wynika z niewłaściwej obsługi plików o nazwach kończących się na .desktop. Osoba atakująca zdalnie może nakłonić ofiarę do pobrania złośliwego pliku i wykonania go w systemie.
Numer CVECVE-2023-29540
KrytycznośćŚrednia
OpisLuka w zabezpieczeniach występuje z powodu nieprawidłowego przetwarzania ramek iframe. Zdalny atakujący może użyć przekierowania osadzonego w sourceMappingUrls, aby umożliwić nawigację do zewnętrznych łączy protokołów w elementach iframe w piaskownicy bez zezwalania na nawigację z góry do protokołów niestandardowych.
Numer CVECVE-2023-29539
KrytycznośćŚrednia
OpisLuka wynika z niewłaściwej obsługi dyrektywy filename w nagłówku Content-Disposition, co prowadzi do obcięcia nazwy pliku, jeżeli zawiera ona znak NULL. Osoba atakująca zdalnie może wykorzystać takie zachowanie i nakłonić ofiarę do pobrania złośliwego pliku.
Numer CVECVE-2023-29537
KrytycznośćWysoka
OpisLuka występuje z powodu wielu warunków wyścigu w kodzie inicjującym czcionkę. Osoba atakująca zdalnie może nakłonić ofiarę do odwiedzenia złośliwej witryny, wywołać wyścig i wykonać dowolny kod
Numer CVECVE-2023-29536
KrytycznośćWysoka
OpisLuka w zabezpieczeniach występuje z powodu nieprawidłowej bezpłatnej operacji z kodu JavaScript. Osoba atakująca zdalnie może nakłonić ofiarę do odwiedzenia specjalnie spreparowanej strony internetowej, spowodować uszkodzenie pamięci i wykonać dowolny kod.
Numer CVECVE-2023-29535
KrytycznośćWysoka
OpisLuka w zabezpieczeniach występuje z powodu błędu granicznego podczas zagęszczania Garbage Collector. Osoba atakująca zdalnie może stworzyć specjalnie spreparowaną stronę internetową, nakłonić ofiarę do jej otwarcia, spowodować uszkodzenie pamięci i wykonać dowolny kod w systemie docelowym.
Numer CVECVE-2023-29534
KrytycznośćŚrednia
OpisLuka w zabezpieczeniach istnieje z powodu nieprawidłowego przetwarzania danych dostarczonych przez użytkownika. Osoba atakująca zdalnie może ukryć powiadomienie pełnoekranowe i sfałszować zawartość strony.
Numer CVECVE-2023-29533
KrytycznośćŚrednia
OpisLuka w zabezpieczeniach istnieje z powodu nieprawidłowego przetwarzania danych dostarczonych przez użytkownika. Osoba atakująca zdalnie może ukryć powiadomienie pełnoekranowe, używając kombinacji żądań window.open, pełnoekranowych, przypisań window.name i wywołań setInterval.
Numer CVECVE-2023-29531
KrytycznośćWysoka
OpisLuka występuje z powodu błędu granicznego podczas przetwarzania niezaufanych danych wejściowych w interfejsie API WebGL. Osoba atakująca zdalnie może nakłonić ofiarę do odwiedzenia specjalnie spreparowanej witryny internetowej, wywołać zapis poza zakresem i wykonać dowolny kod w systemie docelowym.
AktualizacjaTAK
Linkhttps://www.mozilla.org/en-US/security/advisories/mfsa2023-13/ https://www.mozilla.org/en-US/security/advisories/mfsa2023-14/ https://www.mozilla.org/en-US/security/advisories/mfsa2023-15/
Idź do oryginalnego materiału