Produkt | Mozilla Thunderbird – wersje starsze niż 128.0 |
Numer CVE | CVE-2024-6603 |
Krytyczność | 3.8/10 |
CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L/E:U/RL:O/RC:C |
Opis | Luka umożliwia zdalnemu atakującemu przeprowadzenie ataku typu „odmowa usługi” (DoS). Luka wynika z błędu granicznego podczas tworzenia wątku. Osoba atakująca zdalnie może utworzyć specjalnie spreparowaną witrynę internetową, nakłonić ofiarę do jej otwarcia, spowodować uszkodzenie pamięci i awarię przeglądarki. |
|
|
Numer CVE | CVE-2024-6615 |
Krytyczność | 7.7/10 |
CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C |
Opis | Luka umożliwia zdalnemu atakującemu wykonanie dowolnego kodu w systemie docelowym. Luka wynika z błędu granicznego podczas przetwarzania treści HTML. Osoba atakująca zdalnie może stworzyć specjalnie spreparowaną witrynę internetową, nakłonić ofiarę do jej otwarcia, wywołać uszkodzenie pamięci i wykonać dowolny kod w systemie docelowym. |
|
|
Numer CVE | CVE-2024-6604 |
Krytyczność | 7.7/10 |
CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C |
Opis | Luka umożliwia zdalnemu atakującemu wykonanie dowolnego kodu w systemie docelowym. Luka wynika z błędu granicznego podczas przetwarzania treści HTML. Osoba atakująca zdalnie może stworzyć specjalnie spreparowaną witrynę internetową, nakłonić ofiarę do jej otwarcia, wywołać uszkodzenie pamięci i wykonać dowolny kod w systemie docelowym. |
|
|
Numer CVE | CVE-2024-6614 |
Krytyczność | 2.7/10 |
CVSS | AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N/E:U/RL:O/RC:C |
Opis | Luka umożliwia zdalnemu atakującemu zmianę danych śledzenia. Luka wynika z nieskończonej pętli. Iterator ramek może utknąć w pętli, gdy napotka pewne ramki wasm, co prowadzi do nieprawidłowych śladów stosu. |
|
|
Numer CVE | CVE-2024-6613 |
Krytyczność | 2.7/10 |
CVSS | AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N/E:U/RL:O/RC:C |
Opis | Luka umożliwia zdalnemu atakującemu zmianę danych śledzenia. Luka wynika z nieskończonej pętli. Iterator ramek może utknąć w pętli, gdy napotka pewne ramki wasm, co prowadzi do nieprawidłowych śladów stosu. |
|
|
Numer CVE | CVE-2024-6612 |
Krytyczność | 3.7/10 |
CVSS | AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:N/E:U/RL:O/RC:C |
Opis | Luka umożliwia zdalnemu atakującemu ominięcie mechanizmu ochrony CSP. Luka wynika z wycieku naruszeń CSP podczas korzystania z narzędzi deweloperskich. Naruszenia CSP wygenerowały linki na karcie konsoli narzędzi programistycznych, wskazujące zasób naruszający zasady. Spowodowało to wstępne pobieranie DNS, z którego wyciekła informacja o naruszeniu CSP. |
|
|
Numer CVE | CVE-2024-6611 |
Krytyczność | 2.7/10 |
CVSS | AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N/E:U/RL:O/RC:C |
Opis | Luka umożliwia zdalnemu atakującemu wykonanie dowolnego kodu w systemie docelowym. Luka wynika z błędu granicznego w NSS. Osoba atakująca zdalnie może utworzyć specjalnie spreparowaną stronę internetową, nakłonić ofiarę do jej otwarcia, wywołać uszkodzenie pamięci i wykonać dowolny kod w systemie docelowym. |
|
|
Numer CVE | CVE-2024-6602 |
Krytyczność | 7.7/10 |
CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C |
Opis | Luka wynika z błędu granicznego w wersji 8 przeglądarki Google Chrome. Osoba atakująca zdalnie może nakłonić ofiarę do odwiedzenia specjalnie spreparowanej strony internetowej, wywołać przepełnienie bufora stosu i wykonać dowolny kod w systemie. |
|
|
Numer CVE | CVE-2024-6606 |
Krytyczność | 5.7/10 |
CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N/E:U/RL:O/RC:C |
Opis | Luka umożliwia zdalnemu atakującemu uzyskanie dostępu do potencjalnie wrażliwych informacji. Luka wynika z warunku brzegowego w komponencie schowka. Osoba atakująca zdalnie może utworzyć specjalnie spreparowaną witrynę internetową, nakłonić ofiarę do jej otwarcia, wywołać błąd odczytu poza granicami i odczytać zawartość pamięci systemu. |
|
|
Numer CVE | CVE-2024-6601 |
Krytyczność | 4.7/10 |
CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N/E:U/RL:O/RC:C |
Opis | Luka umożliwia zdalnemu atakującemu ominięcie zaimplementowanych ograniczeń bezpieczeństwa. Luka wynika z wyścigu w przypisywaniu uprawnień. Osoba atakująca zdalnie może nakłonić ofiarę do odwiedzenia specjalnie spreparowanej witryny internetowej, ominięcia kontenera cross-origin, uzyskania uprawnień źródła najwyższego poziomu i uzyskania dostępu do poufnych informacji. |
|
|
Numer CVE | CVE-2024-6600 |
Krytyczność | 7.7/10 |
CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C |
Opis | Luka umożliwia zdalnemu atakującemu wykonanie dowolnego kodu w systemie docelowym. Luka wynika z błędu granicznego w interfejsie WebGL API. Osoba atakująca zdalnie może utworzyć specjalnie spreparowaną stronę internetową, nakłonić ofiarę do jej otwarcia, wywołać uszkodzenie pamięci i wykonać dowolny kod w systemie docelowym. Uwaga: podatność dotyczy wyłącznie Firefoksa w wersji na macOS. |
|
|
Numer CVE | CVE-2024-6610 |
Krytyczność | 3.8/10 |
CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N/E:U/RL:O/RC:C |
Opis | Luka umożliwia zdalnemu atakującemu przeprowadzenie ataku polegającego na spoofingu. Luka wynika z błędu w wyskakujących okienkach sprawdzania poprawności formularzy. Osoba atakująca zdalnie może spamować wiadomości weryfikacyjne, aby uniemożliwić użytkownikom wyjście z trybu pełnoekranowego. |
|
|
Numer CVE | CVE-2024-6609 |
Krytyczność | 3.8/10 |
CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N/E:U/RL:O/RC:C |
Opis | Luka umożliwia zdalnemu atakującemu przeprowadzenie ataku typu „odmowa usługi” (DoS). Luka wynika z błędu granicznego w NSS. Osoba atakująca zdalnie może zmusić przeglądarkę do zwolnienia klucza krzywej eliptycznej, który nigdy nie został przydzielony, i spowodować awarię przeglądarki. |
|
|
Numer CVE | CVE-2024-6608 |
Krytyczność | 4.7/10 |
CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C |
Opis | Luka umożliwia zdalnemu atakującemu przeprowadzenie ataku polegającego na spoofingu. Luka wynika z błędu podczas obsługi kursora i wskaźnika. Możliwe było przesuwanie kursora dzięki wskaźnika z ramki iframe. Umożliwiło to przeniesienie kursora poza rzutnię i okno Firefoksa. |
|
|
Numer CVE | CVE-2024-6607 |
Krytyczność | 4.7/10 |
CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N/E:U/RL:O/RC:C |
Opis | Luka umożliwia zdalnemu atakującemu ominięcie zaimplementowanych ograniczeń bezpieczeństwa. Luka wynika ze sposobu, w jaki przeglądarki obsługują przycisk ucieczki i blokadę wskaźnika. Można było uniemożliwić użytkownikowi wychodzenie z blokady wskaźnika po naciśnięciu klawisza Escape i nałożyć powiadomienia o niestandardowej ważności z przycisku <select> element nad określonymi monitami o pozwolenie. Można to wykorzystać, aby zmylić użytkownika i nadać witrynie niezamierzone uprawnienia. |
|
|
Aktualizacja | TAK |
Link | https://www.mozilla.org/en-US/security/advisories/mfsa2024-32/ |