Mozilla publikuje nowe aktualizacje zabezpieczeń dla swoich produktów. (P24-029)

cert.pse-online.pl 10 miesięcy temu
ProduktFirefox – wersje starsze niż 122
Firefox ESR – wersje starsze niż 115.7
Thunderbird – wersje wcześniejsze niż 7*
Numer CVECVE-2024-0741*
Krytyczność7,71/0
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
OpisLuka wynika z błędu granicznego w ANGLE podczas przetwarzania niezaufanych danych wejściowych. Osoba atakująca zdalnie może oszukać ofiarę, aby otworzyła specjalnie spreparowaną witrynę internetową, wywołała zapis poza dopuszczalnym zakresem i wykonała dowolny kod w systemie docelowym.
Numer CVECVE-2024-0742*
Krytyczność5,9/10
CVSSAV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:N/E:U/RL:O/RC:C
OpisLuka wynika z braku aktualizacji sygnatury czasowej wprowadzonej przez użytkownika w przypadku niektórych monitów i okien dialogowych przeglądarki. Osoba atakująca zdalnie może przeprowadzić atak typu clickjacking i nakłonić ofiarę do udzielenia niezamierzonych uprawnień do złośliwej witryny internetowej.
Numer CVECVE-2024-0743
Krytyczność7,7/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C]
OpisLuka wynika z niesprawdzonej wartości zwracanej w kodzie uzgadniania TLS w metodzie NSS TLS. Osoba atakująca zdalnie może oszukać ofiarę, aby odwiedziła specjalnie spreparowaną witrynę internetową i wykonała dowolny kod w systemie.
Numer CVECVE-2024-0744
Krytyczność7,7/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C]
OpisLuka wynika z dereferencji niezaufanego wskaźnika w kodzie skompilowanym JIT. Osoba atakująca zdalnie może nakłonić ofiarę do odwiedzenia specjalnie spreparowanej witryny internetowej, spowodować uszkodzenie pamięci i wykonanie dowolnego kodu w systemie.
Numer CVECVE-2024-0745
Krytyczność7,7/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C]
OpisLuka wynika z błędu granicznego w obiekcie WebAudio OscillatorNode. Osoba atakująca zdalnie może nakłonić ofiarę do odwiedzenia specjalnie spreparowanej witryny internetowej, wywołać przepełnienie bufora stosu i wykonać dowolny kod w systemie docelowym.
Numer CVECVE-2024-0746*
Krytyczność3,8/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L/E:U/RL:O/RC:C
OpisLuka wynika z osiągalnej asercji podczas wyświetlania wskaźników w systemie Linux. Osoba atakująca zdalnie może oszukać ofiarę, aby otworzyła okno podglądu wydruku i spowodowała awarię przeglądarki.
Numer CVECVE-2024-0747*
Krytyczność3,7/10
CVSSAV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:N/E:U/RL:O/RC:C
OpisLuka wynika z błędu w sposobie, w jaki polityka bezpieczeństwa treści obsługuje dyrektywę unsafe-inline. Gdy strona nadrzędna załadowała element podrzędny do ramki iframe z funkcją unsafe-inline, nadrzędna Polityka bezpieczeństwa treści mogła zastąpić podrzędną Politykę bezpieczeństwa treści.
Numer CVECVE-2024-0748
Krytyczność3,8/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N/E:U/RL:O/RC:C
OpisLuka wynika z tego, iż aplikacja nie nakłada prawidłowo ograniczeń bezpieczeństwa. Naruszony proces zawartości mógł zaktualizować identyfikator URI dokumentu. Mogłoby to umożliwić osobie atakującej ustawienie dowolnego identyfikatora URI w pasku adresu lub historii.
Numer CVECVE-2024-0749*
Krytyczność3,8/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N/E:U/RL:O/RC:C
OpisLuka wynika z tego, iż aplikacja nie nakłada prawidłowo ograniczeń bezpieczeństwa. Witryna phishingowa mogła zmienić przeznaczenie okna dialogowego about:, aby wyświetlać w pasku adresu treść phishingową o nieprawidłowym pochodzeniu.
Numer CVECVE-2024-0750*
Krytyczność5,3/10
CVSSAV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N/E:U/RL:O/RC:C
OpisLuka wynika z błędu w obliczaniu opóźnienia powiadomień wyskakujących. Osoba atakująca zdalnie może przeprowadzić atak typu clickjacking i nakłonić użytkownika do przyznania uprawnień złośliwej aplikacji internetowej.
Numer CVECVE-2024-0751*
Krytyczność3,7/10
CVSSAV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:N/E:U/RL:O/RC:C
OpisLuka wynika z tego, iż aplikacja nie nakłada prawidłowo ograniczeń bezpieczeństwa. Do eskalacji uprawnień mogło zostać użyte złośliwe rozszerzenie devtools.
Numer CVECVE-2024-0752
Krytyczność6,5/10
CVSSAV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
OpisLuka wynika z błędu „use after free” w systemie macOS, jeżeli aktualizacja Firefoksa była instalowana w bardzo obciążonym systemie. Osoba atakująca zdalnie może wywołać błąd „use after free” i wykonać dowolny kod w systemie.
Numer CVECVE-2024-0753*
Krytyczność3,7/10
CVSSAV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:N/E:U/RL:O/RC:C
OpisLuka wynika z błędu podczas obsługi HSTS w subdomenie. W określonych konfiguracjach HSTS osoba atakująca mogła ominąć HSTS.
Numer CVECVE-2024-0754
Krytyczność3,8/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L/E:U/RL:O/RC:C]
OpisLuka wynika z niewłaściwego zarządzania zasobami wewnętrznymi podczas obsługi plików źródłowych WASM. Osoba atakująca zdalnie może przekazać specjalnie spreparowane dane do aplikacji i przeprowadzić atak typu „odmowa usługi” (DoS).
Numer CVECVE-2024-0755*
Krytyczność7,7/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
OpisLuka wynika z błędu granicznego podczas przetwarzania treści HTML. Osoba atakująca zdalnie może stworzyć specjalnie spreparowaną witrynę internetową, nakłonić ofiarę do jej otwarcia, wywołać uszkodzenie pamięci i wykonać dowolny kod w systemie docelowym.
AktualizacjaTAK
Linkhttps://www.mozilla.org/en-US/security/advisories/mfsa2024-01/ https://www.mozilla.org/en-US/security/advisories/mfsa2024-02/ https://www.mozilla.org/en-US/security/advisories/mfsa2024-04/
Idź do oryginalnego materiału