Mozilla publikuje nowe aktualizacje zabezpieczeń dla swoich produktów. (P24-055)

cert.pse-online.pl 10 miesięcy temu
ProduktMozilla Firefox: 100.0 – 122.0.1
Firefox ESR: 102.0 – 115.7.0
Firefox for Android: 100.1.0 – 122.1.0
Firefox for iOS: 100.1 – 122.2
Mozilla Thunderbird: 102.0 – 115.7.0
Numer CVECVE-2024-1546
Krytyczność7,7/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
OpisLuka wynika z błędu granicznego podczas przechowywania danych i ponownego uzyskiwania do nich dostępu w kanale sieciowym. Osoba atakująca zdalnie może oszukać ofiarę, aby odwiedziła specjalnie spreparowaną witrynę internetową, wywołała odczyt poza granicami i wykonała dowolny kod w systemie docelowym.
Numer CVECVE-2024-1547
Krytyczność4,7/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N/E:U/RL:O/RC:C
OpisLuka wynika z nieprawidłowego przetwarzania danych dostarczonych przez użytkownika. Osoba atakująca zdalnie może użyć serii wywołań API i przekierowań, aby wyświetlić kontrolowane przez osobę atakującą okno dialogowe z alertami w innej witrynie internetowej (z pokazanym adresem URL witryny ofiary).
Numer CVECVE-2024-1548
Krytyczność4,7/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N/E:U/RL:O/RC:C
OpisLuka wynika z nieprawidłowego przetwarzania danych dostarczonych przez użytkownika. Osoba atakująca zdalnie może ukryć powiadomienie na pełnym ekranie, korzystając z rozwijanego elementu wejściowego.
Numer CVECVE-2024-1549
Krytyczność4,7/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N/E:U/RL:O/RC:C
OpisLuka wynika z nieprawidłowego przetwarzania danych dostarczonych przez użytkownika. Osoba atakująca zdalnie może wykorzystać złośliwą witrynę internetową do ustawienia dużego, niestandardowego kursora, którego fragmenty mogą nakładać się na okno dialogowe uprawnień, co może skutkować dezorientacją użytkownika i nieoczekiwanym przyznaniem uprawnień.
Numer CVECVE-2024-1550
Krytyczność4,7/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N/E:U/RL:O/RC:C
OpisLuka wynika z nieprawidłowego przetwarzania danych dostarczonych przez użytkownika. Osoba atakująca zdalnie może użyć kombinacji wyjścia z trybu pełnoekranowego i opcji „requestPointerLock”, aby spowodować nieoczekiwaną zmianę położenia myszy użytkownika, co mogłoby doprowadzić do dezorientacji użytkownika i nieumyślnego przyznania uprawnień, których nie zamierzał przyznać.
Numer CVECVE-2024-1551
Krytyczność4,7/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N/E:U/RL:O/RC:C
OpisLuka wynika z niewystarczającej weryfikacji danych wejściowych dostarczonych przez użytkownika podczas przetwarzania nagłówków odpowiedzi Set-Cookie w wieloczęściowych odpowiedziach HTTP. Osoba atakująca zdalnie, która kontroluje nagłówek odpowiedzi Content-Type i część treści odpowiedzi, może wstrzyknąć nagłówki odpowiedzi Set-Cookie, które będą honorowane przez przeglądarkę.
Numer CVECVE-2024-1552
Krytyczność3,7/10
CVSSAV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:N/E:U/RL:O/RC:C
OpisLuka wynika z niewłaściwego zarządzania zasobami wewnętrznymi przeglądarki podczas generowania kodu na 32-bitowych urządzeniach ARM. Osoba atakująca zdalnie może oszukać ofiarę, aby odwiedziła specjalnie spreparowaną witrynę internetową i ominęła wprowadzone ograniczenia bezpieczeństwa.
Numer CVECVE-2024-1553
Krytyczność7,7/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
OpisLuka wynika z błędu granicznego podczas przetwarzania treści HTML. Osoba atakująca zdalnie może stworzyć specjalnie spreparowaną witrynę internetową, nakłonić ofiarę do jej otwarcia, wywołać uszkodzenie pamięci i wykonać dowolny kod w systemie docelowym.
Numer CVECVE-2024-1554
Krytyczność5,7/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N/E:U/RL:O/RC:C
OpisLuka istnieje, ponieważ interfejs API fetch() i nawigacja niepoprawnie korzystają z tej samej pamięci podręcznej, ponieważ klucz pamięci podręcznej nie zawiera opcjonalnych nagłówków, które może zawierać interfejs API fetch(). Osoba atakująca zdalnie może zatruć pamięć podręczną lokalnej przeglądarki, uruchamiając ją odpowiedzią fetch() kontrolowaną przez dodatkowe nagłówki. Po przejściu do tego samego adresu URL użytkownik zobaczy odpowiedź z pamięci podręcznej zamiast odpowiedzi oczekiwanej.
Numer CVECVE-2024-1555
Krytyczność3,8/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N/E:U/RL:O/RC:C
OpisLuka wynika z tego, iż przeglądarka nie szanuje prawidłowo plików cookie SameSite podczas otwierania witryny przy użyciu protokołu obsługi protokołu „firefox://”. Osoba atakująca zdalnie może ominąć wprowadzone ograniczenia bezpieczeństwa i uzyskać dostęp do poufnych informacji.
Numer CVECVE-2024-1556
Krytyczność3,8/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L/E:U/RL:O/RC:C
OpisLuka wynika z nieprawidłowego dostępu do pamięci, gdy profiler jest uruchomiony w przeglądarce. Osoba atakująca zdalnie może oszukać ofiarę, aby odwiedziła specjalnie spreparowaną witrynę internetową i spowodowała awarię przeglądarki.
Numer CVECVE-2024-1557
Krytyczność7,7/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
OpisLuka wynika z błędu granicznego podczas przetwarzania treści HTML. Osoba atakująca zdalnie może stworzyć specjalnie spreparowaną witrynę internetową, nakłonić ofiarę do jej otwarcia, wywołać uszkodzenie pamięci i wykonać dowolny kod w systemie docelowym.
AktualizacjaTAK
Linkhttp://www.mozilla.org/en-US/security/advisories/mfsa2024-05/ http://www.mozilla.org/en-US/security/advisories/mfsa2024-06/ http://www.mozilla.org/en-US/security/advisories/mfsa2024-07/
Idź do oryginalnego materiału