Produkt | Firefox: 100.0 – 117.0.1 Firefox ESR: 102.0 – 115.2.1 Firefox for Android: 100.1.0 – 117.1.0 |
Numer CVE | CVE-2023-5168 |
Krytyczność | Wysoka |
Opis | Luka wynika z błędu granicznego podczas przetwarzania niezaufanych danych wejściowych w FilterNodeD2D1. Osoba atakująca zdalnie może stworzyć specjalnie spreparowaną witrynę internetową, nakłonić ofiarę do jej otwarcia, wyzwolić zapis poza dopuszczalnym zakresem i wykonać dowolny kod w systemie docelowym. |
|
|
Numer CVE | CVE-2023-5169 |
Krytyczność | Wysoka |
Opis | Luka wynika z błędu granicznego podczas przetwarzania niezaufanych danych wejściowych w PathOps. Osoba atakująca zdalnie może stworzyć specjalnie spreparowaną witrynę internetową, nakłonić ofiarę do jej otwarcia, wyzwolić zapis poza dopuszczalnym zakresem i wykonać dowolny kod w systemie docelowym. |
|
|
Numer CVE | CVE-2023-5170 |
Krytyczność | Średnia |
Opis | Luka wynika z wycieku pamięci podczas renderowania płótna. Osoba atakująca zdalnie może nakłonić ofiarę do odwiedzenia specjalnie spreparowanej strony internetowej, spowodować wyciek pamięci uprzywilejowanego procesu poprzez nieoczekiwaną zmianę powierzchni i uzyskać dostęp do potencjalnie wrażliwych informacji. Ten wyciek pamięci można wykorzystać do ucieczki z piaskownicy w przypadku wycieku prawidłowych danych. |
|
|
Numer CVE | CVE-2023-5171 |
Krytyczność | Wysoka |
Opis | Luka wynika z błędu użycia po zwolnieniu podczas kompilacji jonów. Osoba atakująca zdalnie może oszukać ofiarę, aby odwiedziła specjalnie spreparowaną stronę internetową, wywołała błąd „use after-free” i wykonała dowolny kod w systemie. Pomyślne wykorzystanie tej luki może pozwolić osobie atakującej na złamanie luki w systemie. |
|
|
Numer CVE | CVE-2023-5172 |
Krytyczność | Wysoka |
Opis | Luka wynika z błędu „use after free” w Ion Engine. Osoba atakująca zdalnie może oszukać ofiarę, aby otworzyła specjalnie spreparowaną stronę internetową, wywołała błąd „use after free” i wykonała dowolny kod w systemie. Pomyślne wykorzystanie tej luki może pozwolić osobie atakującej na złamanie luki w systemie. |
|
|
Numer CVE | CVE-2023-5173 |
Krytyczność | Średnia |
Opis | Luka wynika z błędu granicznego podczas przetwarzania niezaufanych danych wejściowych. Osoba atakująca zdalnie może oszukać ofiarę, aby otworzyła specjalnie spreparowany plik HTML, co spowoduje zapis poza dopuszczalnym zakresem i wykonanie dowolnego kodu w systemie docelowym. Luka występuje w przeglądarce Firefox, jeżeli włączona jest niestandardowa preferencja zezwalająca na usługi alternatywne inne niż HTTPS (network.http.altsvc.oe). |
|
|
Numer CVE | CVE-2023-5174 |
Krytyczność | Średnia |
Opis | Luka wynika z błędu granicznego podczas uruchamiania procesów w systemie Windows. Osoba atakująca zdalnie może wywołać podwójny wolny błąd i wykonać dowolny kod w systemie docelowym. |
|
|
Numer CVE | CVE-2023-5175 |
Krytyczność | Średnia |
Opis | Luka wynika z niewykorzystanej mapy ImageBitmap podczas zamykania procesu. Osoba atakująca zdalnie może oszukać ofiarę, aby odwiedziła specjalnie spreparowaną witrynę internetową, wywołała błąd „use after free” i wykonała dowolny kod w systemie. Pomyślne wykorzystanie tej luki może pozwolić osobie atakującej na złamanie luki w systemie. |
|
|
Numer CVE | CVE-2023-5176 |
Krytyczność | Wysoka |
Opis | Luka wynika z błędu granicznego podczas przetwarzania treści HTML. Osoba atakująca zdalnie może stworzyć specjalnie spreparowaną witrynę internetową, nakłonić ofiarę do jej otwarcia, wywołać uszkodzenie pamięci i wykonać dowolny kod w systemie docelowym. |
|
|
Aktualizacja | TAK |
Link | http://www.mozilla.org/en-US/security/advisories/mfsa2023-41/ |