Mozilla publikuje nowe aktualizacje zabezpieczeń dla swoich produktów. (P23-261)

cert.pse-online.pl 1 rok temu
ProduktFirefox: 100.0 – 117.0.1 Firefox ESR: 102.0 – 115.2.1 Firefox for Android: 100.1.0 – 117.1.0
Numer CVECVE-2023-5168
KrytycznośćWysoka
OpisLuka wynika z błędu granicznego podczas przetwarzania niezaufanych danych wejściowych w FilterNodeD2D1. Osoba atakująca zdalnie może stworzyć specjalnie spreparowaną witrynę internetową, nakłonić ofiarę do jej otwarcia, wyzwolić zapis poza dopuszczalnym zakresem i wykonać dowolny kod w systemie docelowym.
Numer CVECVE-2023-5169
KrytycznośćWysoka
OpisLuka wynika z błędu granicznego podczas przetwarzania niezaufanych danych wejściowych w PathOps. Osoba atakująca zdalnie może stworzyć specjalnie spreparowaną witrynę internetową, nakłonić ofiarę do jej otwarcia, wyzwolić zapis poza dopuszczalnym zakresem i wykonać dowolny kod w systemie docelowym.
Numer CVECVE-2023-5170
KrytycznośćŚrednia
OpisLuka wynika z wycieku pamięci podczas renderowania płótna. Osoba atakująca zdalnie może nakłonić ofiarę do odwiedzenia specjalnie spreparowanej strony internetowej, spowodować wyciek pamięci uprzywilejowanego procesu poprzez nieoczekiwaną zmianę powierzchni i uzyskać dostęp do potencjalnie wrażliwych informacji. Ten wyciek pamięci można wykorzystać do ucieczki z piaskownicy w przypadku wycieku prawidłowych danych.
Numer CVECVE-2023-5171
KrytycznośćWysoka
OpisLuka wynika z błędu użycia po zwolnieniu podczas kompilacji jonów. Osoba atakująca zdalnie może oszukać ofiarę, aby odwiedziła specjalnie spreparowaną stronę internetową, wywołała błąd „use after-free” i wykonała dowolny kod w systemie. Pomyślne wykorzystanie tej luki może pozwolić osobie atakującej na złamanie luki w systemie.
Numer CVECVE-2023-5172
KrytycznośćWysoka
OpisLuka wynika z błędu „use after free” w Ion Engine. Osoba atakująca zdalnie może oszukać ofiarę, aby otworzyła specjalnie spreparowaną stronę internetową, wywołała błąd „use after free” i wykonała dowolny kod w systemie. Pomyślne wykorzystanie tej luki może pozwolić osobie atakującej na złamanie luki w systemie.
Numer CVECVE-2023-5173
KrytycznośćŚrednia
OpisLuka wynika z błędu granicznego podczas przetwarzania niezaufanych danych wejściowych. Osoba atakująca zdalnie może oszukać ofiarę, aby otworzyła specjalnie spreparowany plik HTML, co spowoduje zapis poza dopuszczalnym zakresem i wykonanie dowolnego kodu w systemie docelowym. Luka występuje w przeglądarce Firefox, jeżeli włączona jest niestandardowa preferencja zezwalająca na usługi alternatywne inne niż HTTPS (network.http.altsvc.oe).
Numer CVECVE-2023-5174
KrytycznośćŚrednia
OpisLuka wynika z błędu granicznego podczas uruchamiania procesów w systemie Windows. Osoba atakująca zdalnie może wywołać podwójny wolny błąd i wykonać dowolny kod w systemie docelowym.
Numer CVECVE-2023-5175
KrytycznośćŚrednia
OpisLuka wynika z niewykorzystanej mapy ImageBitmap podczas zamykania procesu. Osoba atakująca zdalnie może oszukać ofiarę, aby odwiedziła specjalnie spreparowaną witrynę internetową, wywołała błąd „use after free” i wykonała dowolny kod w systemie. Pomyślne wykorzystanie tej luki może pozwolić osobie atakującej na złamanie luki w systemie.
Numer CVECVE-2023-5176
KrytycznośćWysoka
OpisLuka wynika z błędu granicznego podczas przetwarzania treści HTML. Osoba atakująca zdalnie może stworzyć specjalnie spreparowaną witrynę internetową, nakłonić ofiarę do jej otwarcia, wywołać uszkodzenie pamięci i wykonać dowolny kod w systemie docelowym.
AktualizacjaTAK
Linkhttp://www.mozilla.org/en-US/security/advisories/mfsa2023-41/
Idź do oryginalnego materiału