Produkt | Firefox – wersje starsze niż 126 Firefox ESR – wersje starsze niż 115.11 Thunderbird – wersje starsze niż 115.11* |
Numer CVE | CVE-2024-4367* |
Krytyczność | 7,7/10 |
CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C |
Opis | Luka wynika z błędu polegającego na pomyleniu typów podczas obsługi czcionek w formacie PDF.js. Osoba atakująca zdalnie może oszukać ofiarę, aby odwiedziła specjalnie spreparowaną witrynę internetową, wywołała błąd pomylenia typów i wykonała dowolny kod w systemie docelowym. |
Numer CVE | CVE-2024-4764 |
Krytyczność | 7,7/10 |
CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C |
Opis | Luka wynika z błędu „use after free” występującego podczas obsługi nowo podłączonego wejścia audio za pośrednictwem wielu wątków WebRTC. Osoba atakująca zdalnie może oszukać ofiarę, aby otworzyła specjalnie spreparowaną witrynę internetową i wykonała dowolny kod w systemie. |
Numer CVE | CVE-2024-4765 |
Krytyczność | 4,4/10 |
CVSS | AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:L/E:U/RL:O/RC:C |
Opis | Luka wynika z tego, iż manifesty aplikacji internetowych przechowywane w przeglądarce korzystają z niezabezpieczonego skrótu MD5, co umożliwia kolizję skrótu w celu zastąpienia manifestu innej aplikacji. Osoba atakująca zdalnie może wykonać dowolny kod w kontekście innej aplikacji. |
Numer CVE | CVE-2024-4766 |
Krytyczność | 4,7/10 |
CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N/E:U/RL:O/RC:C |
Opis | Luka wynika ze sposobu, w jaki przeglądarka obsługuje powiadomienia pełnoekranowe. Osoba atakująca zdalnie może zasłonić powiadomienie pełnoekranowe i przeprowadzić atak polegający na fałszowaniu. |
Numer CVE | CVE-2024-4767* |
Krytyczność | 2,9/10 |
CVSS | AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N/E:U/RL:O/RC:C |
Opis | Luka wynika z tego, iż przeglądarka nie usuwa plików IndexedDB po zamknięciu okna przeglądarki, jeżeli włączona jest preferencja `browser.privatebrowsing.autostart`. Użytkownik lokalny może wyświetlić plik i uzyskać dostęp do danych przeglądanych w trybie przeglądania prywatnego. |
Numer CVE | CVE-2024-4768* |
Krytyczność | 4,7/10 |
CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N/E:U/RL:O/RC:C |
Opis | Luka wynika z błędu w interakcji wyskakujących powiadomień z WebAuthn. Osoba atakująca zdalnie może oszukać ofiarę, aby przyznała uprawnienia złośliwej aplikacji internetowej. |
Numer CVE | CVE-2024-4769* |
Krytyczność | 3,8/10 |
CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N/E:U/RL:O/RC:C |
Opis | Luka wynika z tego, iż przeglądarka wyświetla różne komunikaty o błędach w odpowiedziach aplikacji/javascript i odpowiedziach innych niż skrypty podczas importowania zasobów przy użyciu modułów roboczych Web. Osoba atakująca zdalnie może oszukać ofiarę, aby odwiedziła specjalnie spreparowaną witrynę internetową i uzyskała informacje z różnych źródeł |
Numer CVE | CVE-2024-4770* |
Krytyczność | 3,8/10 |
CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L/E:U/RL:O/RC:C |
Opis | Luka wynika z błędu „use after free” występującego podczas zapisywania strony w formacie PDF. Osoba atakująca zdalnie może oszukać ofiarę, aby zapisała specjalnie spreparowaną stronę internetową w formacie PDF i spowodowała awarię przeglądarki. |
Numer CVE | CVE-2024-4771 |
Krytyczność | 7,7/10 |
CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C |
Opis | Luka wynika z błędu użycia po zwolnieniu podczas przetwarzania treści HTML. Osoba atakująca zdalnie może oszukać ofiarę, aby odwiedziła specjalnie spreparowaną witrynę internetową, wywołała błąd „use after free” i wykonała dowolny kod w systemie. |
Numer CVE | CVE-2024-4772 |
Krytyczność | 3,7/10 |
CVSS | AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:N/E:U/RL:O/RC:C |
Opis | Luka wynika z tego, iż Firefox używa niezabezpieczonej funkcji Rand() do generowania wartości jednorazowej na potrzeby uwierzytelnienia dzięki skrótu HTTP. Osoba atakująca zdalnie może odgadnąć jednorazowo i potencjalnie uzyskać nieautoryzowany dostęp do sesji ofiary. |
Numer CVE | CVE-2024-4773 |
Krytyczność | 2,7/10 |
CVSS | AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N/E:U/RL:O/RC:C |
Opis | Luka wynika z nieprawidłowej obsługi błędów sieciowych podczas ładowania strony, co może spowodować, iż poprzednia treść pozostanie widoczna z pustym paskiem adresu URL. Osoba atakująca zdalnie może przeprowadzić atak polegający na fałszowaniu. |
Numer CVE | CVE-2024-4774 |
Krytyczność | 2,4/10 |
CVSS | AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N/E:U/RL:O/RC:C |
Opis | Luka wynika z błędu w funkcji ShmemCharMapHashEntry(). Osoba atakująca zdalnie może ominąć pewne ograniczenia bezpieczeństwa. |
Numer CVE | CVE-2024-4775 |
Krytyczność | 2,7/10 |
CVSS | AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:N/A:L/E:U/RL:O/RC:C |
Opis | Luka wynika z błędu granicznego podczas obsługi kodu WASM we wbudowanym profilerze. Osoba atakująca zdalnie może oszukać ofiarę, aby odwiedziła specjalnie spreparowaną witrynę internetową i spowodowała awarię przeglądarki. |
Numer CVE | CVE-2024-4776 |
Krytyczność | 2,7/10 |
CVSS | AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:N/A:L/E:U/RL:O/RC:C |
Opis | Luka wynika z błędu podczas wyświetlania okna dialogowego pliku w trybie pełnoekranowym. Osoba atakująca zdalnie może wyłączyć okno przeglądarki. |
Numer CVE | CVE-2024-4777* |
Krytyczność | 7,7/10 |
CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C |
Opis | Luka wynika z błędu granicznego podczas przetwarzania treści HTML. Osoba atakująca zdalnie może utworzyć specjalnie spreparowaną stronę internetową, nakłonić ofiarę do jej otwarcia, wywołać uszkodzenie pamięci i wykonać dowolny kod w systemie docelowym. |
Numer CVE | CVE-2024-4778 |
Krytyczność | 7,7/10 |
CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C |
Opis | Luka wynika z błędu granicznego podczas przetwarzania treści HTML. Osoba atakująca zdalnie może stworzyć specjalnie spreparowaną witrynę internetową, nakłonić ofiarę do jej otwarcia, wywołać uszkodzenie pamięci i wykonać dowolny kod w systemie docelowym. |
Aktualizacja | TAK |
Link | https://www.mozilla.org/en-US/security/advisories/mfsa2024-21/ https://www.mozilla.org/en-US/security/advisories/mfsa2024-22/ https://www.mozilla.org/en-US/security/advisories/mfsa2024-23/ |