Produkt | Firefox ESR – wersje wcześniejsze niż 102.12 Firefox – wersje wcześniejsze niż 114 |
Numer CVE | CVE-2023-34414 |
Krytyczność | Średnia |
Opis | Luka wynika z nieprawidłowego przetwarzania danych dostarczonych przez użytkownika podczas wyświetlania wyjątków certyfikatów. Na stronie błędu dla witryn z nieprawidłowymi certyfikatami TLS brakowało opóźnienia aktywacji, którego Firefox używa do ochrony monitów i okien dialogowych uprawnień przed atakami wykorzystującymi opóźnienia czasu reakcji człowieka. jeżeli złośliwa strona wywołała kliknięcia użytkownika w określonych lokalizacjach bezpośrednio przed przejściem do witryny z błędem certyfikatu i sprawiła, iż renderer był bardzo obciążony w tym samym czasie, może to spowodować powstanie przerwy między załadowaniem strony błędu a faktycznym odświeżeniem ekranu. |
Numer CVE | CVE-2023-34415 |
Krytyczność | Średnia |
Opis | Luka wynika ze sposobu, w jaki Firefox ładuje dokumenty z adresu URL „data:”, który był wynikiem przekierowania. Osoba atakująca zdalnie może nakłonić ofiarę do otwarcia specjalnie spreparowanego adresu URL i obejścia zabezpieczeń izolacji witryn przed atakami typu Spectre. |
Numer CVE | CVE-2023-34416 |
Krytyczność | Wysoka |
Opis | Luka w zabezpieczeniach występuje z powodu błędu granicznego podczas przetwarzania zawartości HTML. Osoba atakująca zdalnie może stworzyć specjalnie spreparowaną stronę internetową, nakłonić ofiarę do jej otwarcia, spowodować uszkodzenie pamięci i wykonać dowolny kod w systemie docelowym. |
Numer CVE | CVE-2023-34417 |
Krytyczność | Wysoka |
Opis | Luka w zabezpieczeniach występuje z powodu błędu granicznego podczas przetwarzania zawartości HTML. Osoba atakująca zdalnie może stworzyć specjalnie spreparowaną stronę internetową, nakłonić ofiarę do jej otwarcia, spowodować uszkodzenie pamięci i wykonać dowolny kod w systemie docelowym. |
Aktualizacja | TAK |
Link | https://www.mozilla.org/en-US/security/advisories/mfsa2023-19/ https://www.mozilla.org/en-US/security/advisories/mfsa2023-20/ |