Mozilla publikuje nowe aktualizacje zabezpieczeń dla swoich produktów. (P23-297)

cert.pse-online.pl 6 miesięcy temu

Produkt	Mozilla Firefox: 100.0 – 118.0.2 Firefox ESR: 102.0 – 115.3.1 Firefox for Android: 100.1.0 – 118.2.0 Mozilla Thunderbird: 102.0 – 115.3.3*
Numer CVE	CVE-2023-5721*
Krytyczność	Średnia
Opis	Luka wynika z nieprawidłowego przetwarzania renderowania w kolejce. Osoba atakująca zdalnie może przeprowadzić atak polegający na fałszowaniu, aktywując lub odrzucając określone monity i okna dialogowe przeglądarki.

Numer CVE	CVE-2023-5722
Krytyczność	Niska
Opis	Luka umożliwia zdalnemu atakującemu uzyskanie dostępu do potencjalnie wrażliwych informacji. Luka wynika z rozmiaru różnych źródeł i wycieku nagłówka. Osoba atakująca zdalnie może poznać rozmiar nieprzejrzystej odpowiedzi dzięki żądań iteracyjnych.

Numer CVE	CVE-2023-5723
Krytyczność	Niska
Opis	Luka wynika z niedostatecznej weryfikacji danych wprowadzonych przez użytkownika podczas obsługi nieprawidłowych znaków plików cookie. Osoba atakująca zdalnie może przekazać specjalnie spreparowane dane wejściowe do aplikacji i przeprowadzić atak typu „odmowa usługi” (DoS).

Numer CVE	CVE-2023-5724*
Krytyczność	Niska
Opis	Luka wynika z niewłaściwego zarządzania zasobami wewnętrznymi w WebGL. Osoba atakująca zdalnie może oszukać ofiarę, aby otworzyła specjalnie spreparowaną witrynę internetową i przeprowadziła atak typu „odmowa usługi” (DoS).

Numer CVE	CVE-2023-5725*
Krytyczność	Niska
Opis	Luka wynika z nieprawidłowo nałożonych ograniczeń bezpieczeństwa w programie WebExtension, które mogą otwierać dowolne adresy URL. Złośliwe rozszerzenie może zbierać wrażliwe dane użytkownika.

Numer CVE	CVE-2023-5726*
Krytyczność	Niska
Opis	Luka wynika z nieprawidłowego przetwarzania danych dostarczonych przez użytkownika podczas obsługi powiadomień pełnoekranowych w oknie dialogowym otwierania pliku. Osoba atakująca zdalnie może przeprowadzić atak polegający na fałszowaniu.

Numer CVE	CVE-2023-5727*
Krytyczność	Średnia
Opis	Luka wynika z ostrzeżenia o braku pliku wykonywalnego podczas pobierania plików .msix, .msixbundle, .appx i .appxbundle. Osoba atakująca zdalnie może nakłonić ofiarę do wykonania plików i złamać zagrożony system.

Numer CVE	CVE-2023-5728*
Krytyczność	Wysoka
Opis	Luka wynika z nieprawidłowego śledzenia obiektów podczas zbierania elementów bezużytecznych. Osoba atakująca zdalnie może stworzyć specjalnie spreparowaną witrynę internetową, nakłonić ofiarę do jej otwarcia, wywołać uszkodzenie pamięci i wykonać dowolny kod w systemie docelowym.

Numer CVE	CVE-2023-5729
Krytyczność	Niska
Opis	Luka wynika z nieprawidłowego przetwarzania danych dostarczonych przez użytkownika. Złośliwa witryna internetowa może przejść do trybu pełnoekranowego, jednocześnie wywołując monit WebAuthn. Mogło to zasłonić powiadomienie na pełnym ekranie i zostać wykorzystane w ataku polegającym na fałszowaniu.

Numer CVE	CVE-2023-5730*
Krytyczność	Wysoka
Opis	Luka wynika z błędu granicznego podczas przetwarzania treści HTML. Osoba atakująca zdalnie może stworzyć specjalnie spreparowaną witrynę internetową, nakłonić ofiarę do jej otwarcia, wywołać uszkodzenie pamięci i wykonać dowolny kod w systemie docelowym.

Numer CVE	CVE-2023-5731
Krytyczność	Wysoka
Opis	Luka wynika z błędu granicznego podczas przetwarzania treści HTML. Osoba atakująca zdalnie może stworzyć specjalnie spreparowaną witrynę internetową, nakłonić ofiarę do jej otwarcia, wywołać uszkodzenie pamięci i wykonać dowolny kod w systemie docelowym.

Numer CVE	CVE-2023-5732
Krytyczność	Średnia
Opis	Luka wynika z nieprawidłowego przetwarzania danych dostarczonych przez użytkownika podczas obsługi znaków dwukierunkowych. Osoba atakująca zdalnie może sfałszować pasek adresu przeglądarki.

Aktualizacja	TAK
Link	https://www.mozilla.org/en-US/security/advisories/mfsa2023-45/ https://www.mozilla.org/en-US/security/advisories/mfsa2023-46/ http://www.mozilla.org/en-US/security/advisories/mfsa2023-47/