Mozilla publikuje nowe aktualizacje zabezpieczeń dla swoich produktów. (P24-094)

cert.pse-online.pl 9 miesięcy temu
ProduktMozilla Firefox: 100.0 – 123.0.1
Firefox ESR: 102.0 – 115.8.0
Mozilla Thunderbird: 102.0 – 115.8 *
Numer CVECVE-2024-2605*
Krytyczność7,7/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
OpisLuka wynika z błędu w implementacji narzędzia Reporter błędów systemu Windows. Osoba atakująca zdalnie może oszukać ofiarę, aby odwiedziła specjalnie spreparowaną witrynę internetową i uruchomiła w systemie dowolny kod uciekający z piaskownicy.
Numer CVECVE-2024-2606
Krytyczność6,5/10
CVSSAV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
OpisLuka wynika z nieprawidłowego przetwarzania wartości rejestru WASM, co prowadzi do zamiany dowolnych liczb całkowitych na wartości wskaźników. Osoba atakująca zdalnie może wykonać dowolny kod w systemie.
Numer CVECVE-2024-2607*
Krytyczność6,5/10
CVSSAV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
OpisLuka wynika z tego, iż kod JIT nie zapisuje rejestrów zwrotnych w systemach Armv7-A. Osoba atakująca zdalnie może wykonać dowolny kod w systemie.
Numer CVECVE-2024-2608*
Krytyczność7,7/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
OpisLuka wynika z przepełnienia liczb całkowitych w funkcjach AppendEncodedAttributeValue(), ExtraSpaceNeededForAttrEncoding() i AppendEncodedCharacters(). Osoba atakująca zdalnie może nakłonić ofiarę do odwiedzenia specjalnie spreparowanej witryny internetowej, wywołać przepełnienie liczby całkowitej i wykonać dowolny kod w systemie docelowym.
Numer CVECVE-2024-2609
Krytyczność4,7/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N/E:U/RL:O/RC:C
OpisLuka wynika z tego, iż opóźnienie wprowadzenia monitu o pozwolenie może wygasnąć, gdy okno nie jest aktywne. Osoba atakująca zdalnie może oszukać ofiarę, aby odwiedziła specjalnie spreparowaną witrynę internetową i przeprowadziła atak typu clickjacking.
Numer CVECVE-2024-2610*
Krytyczność3,7/10
CVSSAV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:N/E:U/RL:O/RC:C
OpisLuka wynika z błędu podczas obsługi kodu HTML. Osoba atakująca zdalnie, mająca możliwość wstrzyknięcia kodu HTML na stronę (np. wykorzystując lukę XSS), może uzyskać wartość jednorazową CSP i ominąć rygorystyczne zasady bezpieczeństwa treści.
Numer CVECVE-2024-2611*
Krytyczność4,7/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N/E:U/RL:O/RC:C
OpisLuka wynika z brakującego opóźnienia w blokadzie wskaźnika. Osoba atakująca zdalnie może oszukać ofiarę, aby odwiedziła specjalnie spreparowaną witrynę internetową i przeprowadziła atak typu clickjacking.
Numer CVECVE-2024-2612*
Krytyczność7,7/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
OpisLuka wynika z błędu użycia po zwolnieniu podczas przetwarzania zawartości HTML. Osoba atakująca zdalnie może oszukać ofiarę, aby odwiedziła specjalnie spreparowaną witrynę internetową, aby uruchomić określoną ścieżkę kodu w SafeRefPtr i wykonać dowolny kod w systemie.
Numer CVECVE-2024-2613
Krytyczność5,7/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H/E:U/RL:O/RC:C
OpisLuka wynika z nieprawidłowej weryfikacji danych podczas dekodowania ramki QUIC ACK. Osoba atakująca zdalnie może nakłonić ofiarę do odwiedzenia specjalnie spreparowanej witryny internetowej i zużycia nadmiernych zasobów pamięci.
Numer CVECVE-2024-2614*
Krytyczność7,7/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
OpisLuka wynika z błędu granicznego podczas przetwarzania treści HTML. Osoba atakująca zdalnie może utworzyć specjalnie spreparowaną stronę internetową, nakłonić ofiarę do jej otwarcia, wywołać uszkodzenie pamięci i wykonać dowolny kod w systemie docelowym.
Numer CVECVE-2024-2615
Krytyczność7,7/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
OpisLuka wynika z błędu granicznego podczas przetwarzania danych wejściowych HTML. Osoba atakująca zdalnie może stworzyć specjalnie spreparowaną witrynę internetową, nakłonić ofiarę do jej otwarcia, wywołać uszkodzenie pamięci i wykonać dowolny kod w systemie docelowym.
Numer CVECVE-2024-2616*
Krytyczność3,8/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L/E:U/RL:O/RC:C
OpisLuka wynika z tego, iż aplikacja nie kontroluje prawidłowo zużycia zasobów wewnętrznych. Osoba atakująca zdalnie może spowodować wyczerpanie zasobów i przeprowadzić atak typu „odmowa usługi” (DoS).
Numer CVECVE-2023-5388*
Krytyczność5,8/10
CVSSAV:N/AC:L/PR:N/UI:N/S:C/C:L/I:N/A:N/E:U/RL:O/RC:C
OpisLuka istnieje z powodu niewystarczającej poprawki dla #VU84108 (CVE-2023-4421). Osoba atakująca zdalnie może przeprowadzić atak Marvin i uzyskać dostęp do poufnych informacji.
Numer CVECVE-2024-0743*
Krytyczność7,7/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
OpisLuka wynika z niesprawdzonej wartości zwracanej w kodzie uzgadniania TLS w metodzie NSS TLS. Osoba atakująca zdalnie może nakłonić ofiarę do odwiedzenia specjalnie spreparowanej witryny internetowej i wykonania dowolnego kodu w systemie.
AktualizacjaTAK
Linkhttp://www.mozilla.org/en-US/security/advisories/mfsa2024-12/
http://www.mozilla.org/en-US/security/advisories/mfsa2024-13/
http://www.mozilla.org/en-US/security/advisories/mfsa2024-14/
Idź do oryginalnego materiału