Produkt | Firefox – wersje starsze niż 122 Firefox ESR – wersje starsze niż 115.7 Thunderbird – wersje wcześniejsze niż 7* |
Numer CVE | CVE-2024-0741* |
Krytyczność | 7,71/0 |
CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C |
Opis | Luka wynika z błędu granicznego w ANGLE podczas przetwarzania niezaufanych danych wejściowych. Osoba atakująca zdalnie może oszukać ofiarę, aby otworzyła specjalnie spreparowaną witrynę internetową, wywołała zapis poza dopuszczalnym zakresem i wykonała dowolny kod w systemie docelowym. |
Numer CVE | CVE-2024-0742* |
Krytyczność | 5,9/10 |
CVSS | AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:N/E:U/RL:O/RC:C |
Opis | Luka wynika z braku aktualizacji sygnatury czasowej wprowadzonej przez użytkownika w przypadku niektórych monitów i okien dialogowych przeglądarki. Osoba atakująca zdalnie może przeprowadzić atak typu clickjacking i nakłonić ofiarę do udzielenia niezamierzonych uprawnień do złośliwej witryny internetowej. |
Numer CVE | CVE-2024-0743 |
Krytyczność | 7,7/10 |
CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C] |
Opis | Luka wynika z niesprawdzonej wartości zwracanej w kodzie uzgadniania TLS w metodzie NSS TLS. Osoba atakująca zdalnie może oszukać ofiarę, aby odwiedziła specjalnie spreparowaną witrynę internetową i wykonała dowolny kod w systemie. |
Numer CVE | CVE-2024-0744 |
Krytyczność | 7,7/10 |
CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C] |
Opis | Luka wynika z dereferencji niezaufanego wskaźnika w kodzie skompilowanym JIT. Osoba atakująca zdalnie może nakłonić ofiarę do odwiedzenia specjalnie spreparowanej witryny internetowej, spowodować uszkodzenie pamięci i wykonanie dowolnego kodu w systemie. |
Numer CVE | CVE-2024-0745 |
Krytyczność | 7,7/10 |
CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C] |
Opis | Luka wynika z błędu granicznego w obiekcie WebAudio OscillatorNode. Osoba atakująca zdalnie może nakłonić ofiarę do odwiedzenia specjalnie spreparowanej witryny internetowej, wywołać przepełnienie bufora stosu i wykonać dowolny kod w systemie docelowym. |
Numer CVE | CVE-2024-0746* |
Krytyczność | 3,8/10 |
CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L/E:U/RL:O/RC:C |
Opis | Luka wynika z osiągalnej asercji podczas wyświetlania wskaźników w systemie Linux. Osoba atakująca zdalnie może oszukać ofiarę, aby otworzyła okno podglądu wydruku i spowodowała awarię przeglądarki. |
Numer CVE | CVE-2024-0747* |
Krytyczność | 3,7/10 |
CVSS | AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:N/E:U/RL:O/RC:C |
Opis | Luka wynika z błędu w sposobie, w jaki polityka bezpieczeństwa treści obsługuje dyrektywę unsafe-inline. Gdy strona nadrzędna załadowała element podrzędny do ramki iframe z funkcją unsafe-inline, nadrzędna Polityka bezpieczeństwa treści mogła zastąpić podrzędną Politykę bezpieczeństwa treści. |
Numer CVE | CVE-2024-0748 |
Krytyczność | 3,8/10 |
CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N/E:U/RL:O/RC:C |
Opis | Luka wynika z tego, iż aplikacja nie nakłada prawidłowo ograniczeń bezpieczeństwa. Naruszony proces zawartości mógł zaktualizować identyfikator URI dokumentu. Mogłoby to umożliwić osobie atakującej ustawienie dowolnego identyfikatora URI w pasku adresu lub historii. |
Numer CVE | CVE-2024-0749* |
Krytyczność | 3,8/10 |
CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N/E:U/RL:O/RC:C |
Opis | Luka wynika z tego, iż aplikacja nie nakłada prawidłowo ograniczeń bezpieczeństwa. Witryna phishingowa mogła zmienić przeznaczenie okna dialogowego about:, aby wyświetlać w pasku adresu treść phishingową o nieprawidłowym pochodzeniu. |
Numer CVE | CVE-2024-0750* |
Krytyczność | 5,3/10 |
CVSS | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N/E:U/RL:O/RC:C |
Opis | Luka wynika z błędu w obliczaniu opóźnienia powiadomień wyskakujących. Osoba atakująca zdalnie może przeprowadzić atak typu clickjacking i nakłonić użytkownika do przyznania uprawnień złośliwej aplikacji internetowej. |
Numer CVE | CVE-2024-0751* |
Krytyczność | 3,7/10 |
CVSS | AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:N/E:U/RL:O/RC:C |
Opis | Luka wynika z tego, iż aplikacja nie nakłada prawidłowo ograniczeń bezpieczeństwa. Do eskalacji uprawnień mogło zostać użyte złośliwe rozszerzenie devtools. |
Numer CVE | CVE-2024-0752 |
Krytyczność | 6,5/10 |
CVSS | AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C |
Opis | Luka wynika z błędu „use after free” w systemie macOS, jeżeli aktualizacja Firefoksa była instalowana w bardzo obciążonym systemie. Osoba atakująca zdalnie może wywołać błąd „use after free” i wykonać dowolny kod w systemie. |
Numer CVE | CVE-2024-0753* |
Krytyczność | 3,7/10 |
CVSS | AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:N/E:U/RL:O/RC:C |
Opis | Luka wynika z błędu podczas obsługi HSTS w subdomenie. W określonych konfiguracjach HSTS osoba atakująca mogła ominąć HSTS. |
Numer CVE | CVE-2024-0754 |
Krytyczność | 3,8/10 |
CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L/E:U/RL:O/RC:C] |
Opis | Luka wynika z niewłaściwego zarządzania zasobami wewnętrznymi podczas obsługi plików źródłowych WASM. Osoba atakująca zdalnie może przekazać specjalnie spreparowane dane do aplikacji i przeprowadzić atak typu „odmowa usługi” (DoS). |
Numer CVE | CVE-2024-0755* |
Krytyczność | 7,7/10 |
CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C |
Opis | Luka wynika z błędu granicznego podczas przetwarzania treści HTML. Osoba atakująca zdalnie może stworzyć specjalnie spreparowaną witrynę internetową, nakłonić ofiarę do jej otwarcia, wywołać uszkodzenie pamięci i wykonać dowolny kod w systemie docelowym. |
Aktualizacja | TAK |
Link | https://www.mozilla.org/en-US/security/advisories/mfsa2024-01/ https://www.mozilla.org/en-US/security/advisories/mfsa2024-02/ https://www.mozilla.org/en-US/security/advisories/mfsa2024-04/ |