| Produkt | Mozilla Firefox: 100.0 – 123.0.1 Firefox ESR: 102.0 – 115.8.0 Mozilla Thunderbird: 102.0 – 115.8 * |
| Numer CVE | CVE-2024-2605* |
| Krytyczność | 7,7/10 |
| CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C |
| Opis | Luka wynika z błędu w implementacji narzędzia Reporter błędów systemu Windows. Osoba atakująca zdalnie może oszukać ofiarę, aby odwiedziła specjalnie spreparowaną witrynę internetową i uruchomiła w systemie dowolny kod uciekający z piaskownicy. |
| Numer CVE | CVE-2024-2606 |
| Krytyczność | 6,5/10 |
| CVSS | AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C |
| Opis | Luka wynika z nieprawidłowego przetwarzania wartości rejestru WASM, co prowadzi do zamiany dowolnych liczb całkowitych na wartości wskaźników. Osoba atakująca zdalnie może wykonać dowolny kod w systemie. |
| Numer CVE | CVE-2024-2607* |
| Krytyczność | 6,5/10 |
| CVSS | AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C |
| Opis | Luka wynika z tego, iż kod JIT nie zapisuje rejestrów zwrotnych w systemach Armv7-A. Osoba atakująca zdalnie może wykonać dowolny kod w systemie. |
| Numer CVE | CVE-2024-2608* |
| Krytyczność | 7,7/10 |
| CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C |
| Opis | Luka wynika z przepełnienia liczb całkowitych w funkcjach AppendEncodedAttributeValue(), ExtraSpaceNeededForAttrEncoding() i AppendEncodedCharacters(). Osoba atakująca zdalnie może nakłonić ofiarę do odwiedzenia specjalnie spreparowanej witryny internetowej, wywołać przepełnienie liczby całkowitej i wykonać dowolny kod w systemie docelowym. |
| Numer CVE | CVE-2024-2609 |
| Krytyczność | 4,7/10 |
| CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N/E:U/RL:O/RC:C |
| Opis | Luka wynika z tego, iż opóźnienie wprowadzenia monitu o pozwolenie może wygasnąć, gdy okno nie jest aktywne. Osoba atakująca zdalnie może oszukać ofiarę, aby odwiedziła specjalnie spreparowaną witrynę internetową i przeprowadziła atak typu clickjacking. |
| Numer CVE | CVE-2024-2610* |
| Krytyczność | 3,7/10 |
| CVSS | AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:N/E:U/RL:O/RC:C |
| Opis | Luka wynika z błędu podczas obsługi kodu HTML. Osoba atakująca zdalnie, mająca możliwość wstrzyknięcia kodu HTML na stronę (np. wykorzystując lukę XSS), może uzyskać wartość jednorazową CSP i ominąć rygorystyczne zasady bezpieczeństwa treści. |
| Numer CVE | CVE-2024-2611* |
| Krytyczność | 4,7/10 |
| CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N/E:U/RL:O/RC:C |
| Opis | Luka wynika z brakującego opóźnienia w blokadzie wskaźnika. Osoba atakująca zdalnie może oszukać ofiarę, aby odwiedziła specjalnie spreparowaną witrynę internetową i przeprowadziła atak typu clickjacking. |
| Numer CVE | CVE-2024-2612* |
| Krytyczność | 7,7/10 |
| CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C |
| Opis | Luka wynika z błędu użycia po zwolnieniu podczas przetwarzania zawartości HTML. Osoba atakująca zdalnie może oszukać ofiarę, aby odwiedziła specjalnie spreparowaną witrynę internetową, aby uruchomić określoną ścieżkę kodu w SafeRefPtr i wykonać dowolny kod w systemie. |
| Numer CVE | CVE-2024-2613 |
| Krytyczność | 5,7/10 |
| CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H/E:U/RL:O/RC:C |
| Opis | Luka wynika z nieprawidłowej weryfikacji danych podczas dekodowania ramki QUIC ACK. Osoba atakująca zdalnie może nakłonić ofiarę do odwiedzenia specjalnie spreparowanej witryny internetowej i zużycia nadmiernych zasobów pamięci. |
| Numer CVE | CVE-2024-2614* |
| Krytyczność | 7,7/10 |
| CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C |
| Opis | Luka wynika z błędu granicznego podczas przetwarzania treści HTML. Osoba atakująca zdalnie może utworzyć specjalnie spreparowaną stronę internetową, nakłonić ofiarę do jej otwarcia, wywołać uszkodzenie pamięci i wykonać dowolny kod w systemie docelowym. |
| Numer CVE | CVE-2024-2615 |
| Krytyczność | 7,7/10 |
| CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C |
| Opis | Luka wynika z błędu granicznego podczas przetwarzania danych wejściowych HTML. Osoba atakująca zdalnie może stworzyć specjalnie spreparowaną witrynę internetową, nakłonić ofiarę do jej otwarcia, wywołać uszkodzenie pamięci i wykonać dowolny kod w systemie docelowym. |
| Numer CVE | CVE-2024-2616* |
| Krytyczność | 3,8/10 |
| CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L/E:U/RL:O/RC:C |
| Opis | Luka wynika z tego, iż aplikacja nie kontroluje prawidłowo zużycia zasobów wewnętrznych. Osoba atakująca zdalnie może spowodować wyczerpanie zasobów i przeprowadzić atak typu „odmowa usługi” (DoS). |
| Numer CVE | CVE-2023-5388* |
| Krytyczność | 5,8/10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:N/A:N/E:U/RL:O/RC:C |
| Opis | Luka istnieje z powodu niewystarczającej poprawki dla #VU84108 (CVE-2023-4421). Osoba atakująca zdalnie może przeprowadzić atak Marvin i uzyskać dostęp do poufnych informacji. |
| Numer CVE | CVE-2024-0743* |
| Krytyczność | 7,7/10 |
| CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C |
| Opis | Luka wynika z niesprawdzonej wartości zwracanej w kodzie uzgadniania TLS w metodzie NSS TLS. Osoba atakująca zdalnie może nakłonić ofiarę do odwiedzenia specjalnie spreparowanej witryny internetowej i wykonania dowolnego kodu w systemie. |
| Aktualizacja | TAK |
| Link | http://www.mozilla.org/en-US/security/advisories/mfsa2024-12/ http://www.mozilla.org/en-US/security/advisories/mfsa2024-13/ http://www.mozilla.org/en-US/security/advisories/mfsa2024-14/ |
Mozilla publikuje nowe aktualizacje zabezpieczeń dla swoich produktów. (P24-094)
Powiązane
RCE w D-Link NAS. Poprawek nie będzie
2 tygodni temu
GlobalProtect VPN. Mamy stanowiska uczelni i Palo Alto
2 tygodni temu
Poznań Security Meetup #2 2024 – rozkręcamy się
2 tygodni temu
