| Produkt | Firefox ESR – wersje wcześniejsze niż 115.14 Firefox ESR – wersje wcześniejsze niż 128.1 Firefox – wersje wcześniejsze niż 129 Thunderbird – wersje wcześniejsze niż 115.14 Thunderbird – wersje wcześniejsze niż 128.1 |
| Numer CVE | CVE-2024-7518 |
| Krytyczność | 4.7/10 |
| CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N/E:U/RL:O/RC:C |
| Opis | Luka występuje z powodu nieprawidłowej interpretacji danych wejściowych w interfejsie użytkownika podczas obsługi opcji wyboru. Zdalny atakujący może zasłonić pełnoekranowe okno dialogowe powiadomień zawartością dokumentu i wykonać atak typu spoofing. |
| Numer CVE | CVE-2024-7519 |
| Krytyczność | 7.1/10 |
| CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N/E:U/RL:O/RC:C |
| Opis | Luka występuje z powodu błędu granicznego podczas przetwarzania współdzielonej pamięci graficznej. Zdalny atakujący może utworzyć specjalnie spreparowaną witrynę internetową, oszukać ofiarę, aby ją otworzyła, uruchomić odczyt poza zakresem i ominąć piaskownicę przeglądarki. |
| Numer CVE | CVE-2024-7520 |
| Krytyczność | 7.7/10 |
| CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C |
| Opis | Luka występuje z powodu błędu pomyłki typu w WebAssembly. Zdalny atakujący może oszukać ofiarę, aby odwiedziła specjalnie spreparowaną stronę internetową, wywołała błąd pomyłki typu i wykonała dowolny kod w systemie docelowym. |
| Numer CVE | CVE-2024-7521 |
| Krytyczność | 7.7/10 |
| CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C |
| Opis | Luka występuje z powodu błędu użycia po zwolnieniu w WebAssembly. Zdalny atakujący może oszukać ofiarę, aby odwiedziła specjalnie spreparowaną stronę internetową, wywołała błąd użycia po zwolnieniu i wykonała dowolny kod w systemie. |
| Numer CVE | CVE-2024-7522 |
| Krytyczność | 7.1/10 |
| CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N/E:U/RL:O/RC:C |
| Opis | Luka istnieje z powodu nieprawidłowej implementacji w wersji V8 w przeglądarce Google Chrome. Zdalny atakujący może utworzyć specjalnie spreparowaną stronę internetową, oszukać ofiarę i nakłonić ją do odwiedzenia jej i naruszyć bezpieczeństwo systemu. |
| Numer CVE | CVE-2024-7530 |
| Krytyczność | 3.8/10 |
| CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L/E:U/RL:O/RC:C |
| Opis | Luka występuje z powodu błędu użycia po zwolnieniu w zbiorze pokrycia kodu JavaScript. Zdalny atakujący może oszukać ofiarę, aby odwiedziła specjalnie spreparowaną witrynę, wywołać błąd użycia po zwolnieniu i spowodować awarię przeglądarki. |
| Numer CVE | CVE-2024-7525 |
| Krytyczność | 4.7/10 |
| CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N/E:U/RL:O/RC:C |
| Opis | Luka występuje z powodu braku kontroli uprawnień podczas tworzenia StreamFilter. Rozszerzenie sieciowe z minimalnymi uprawnieniami może utworzyć StreamFilter, który może być używany do odczytywania i modyfikowania treści odpowiedzi żądań w dowolnej witrynie. |
| Numer CVE | CVE-2024-7523 |
| Krytyczność | 4.7/10 |
| CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N/E:U/RL:O/RC:C |
| Opis | Luka występuje z powodu błędu podczas obsługi opcji wyboru, co może powodować zaciemnienie monitów bezpieczeństwa. Zdalny atakujący może oszukać ofiarę, aby udzieliła uprawnień. |
| Numer CVE | CVE-2024-7531 |
| Krytyczność | 3.8/10 |
| CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N/E:U/RL:O/RC:C |
| Opis | Wywołanie PK11_Encrypt() w NSS przy użyciu CKM_CHACHA20 i tego samego bufora dla wejścia i wyjścia może skutkować tekstem jawnym na procesorze Intel Sandy Bridge. W przeglądarce Firefox dotyczy to tylko funkcji ochrony nagłówka QUIC, gdy połączenie używa zestawu szyfrów ChaCha20-Poly1305. Najbardziej prawdopodobnym wynikiem jest awaria połączenia, ale jeżeli połączenie utrzymuje się pomimo dużej utraty pakietów, obserwator sieci może zidentyfikować pakiety jako pochodzące z tego samego źródła pomimo zmiany ścieżki sieciowej. |
| Numer CVE | CVE-2024-7529 |
| Krytyczność | 4.7/10 |
| CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N/E:U/RL:O/RC:C |
| Opis | Luka występuje z powodu nieprawidłowego użycia selektora daty, co może powodować zaciemnienie monitów bezpieczeństwa. Zdalny atakujący używa złośliwej witryny, aby oszukać ofiarę i uzyskać uprawnienia. |
| Numer CVE | CVE-2024-7528 |
| Krytyczność | 7.7/10 |
| CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L/E:U/RL:O/RC:C |
| Opis | Luka występuje z powodu błędu użycia po zwolnieniu w IndexedDB. Zdalny atakujący może oszukać ofiarę i zmusić ją do odwiedzenia specjalnie spreparowanej witryny, wywołać błąd użycia po zwolnieniu i wykonać dowolny kod w systemie. |
| Numer CVE | CVE-2024-7526 |
| Krytyczność | 5.7/10 |
| CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N/E:U/RL:O/RC:C |
| Opis | Luka występuje z powodu użycia niezainicjowanych zasobów w WebGL ANGLE. Zdalny atakujący może oszukać ofiarę, aby odwiedziła specjalnie spreparowaną witrynę i uzyskała dostęp do poufnych informacji. |
| Numer CVE | CVE-2024-7527 |
| Krytyczność | 7.7/10 |
| CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C |
| Opis | Luka występuje z powodu błędu użycia po zwolnieniu w zbieraniu śmieci JavaScript. Zdalny atakujący może oszukać ofiarę, aby odwiedziła specjalnie spreparowaną witrynę, wywołać błąd użycia po zwolnieniu i wykonać dowolny kod w systemie. |
| Numer CVE | CVE-2024-7524 |
| Krytyczność | 5.3/10 |
| CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C |
| Opis | Firefox dodaje shimy zapewniające zgodność z siecią zamiast niektórych skryptów śledzących blokowanych przez Enhanced Tracking Protection. Na stronie chronionej przez Content Security Policy w trybie „strict-dynamic” atakujący, który jest w stanie wstrzyknąć element HTML, mógłby użyć ataku DOM Clobbering na niektórych shimach i osiągnąć XSS, omijając ochronę CSP strict-dynamic. |
| Aktualizacja | TAK |
| Link | https://www.mozilla.org/en-US/security/advisories/mfsa2024-33/ https://www.mozilla.org/en-US/security/advisories/mfsa2024-34/ https://www.mozilla.org/en-US/security/advisories/mfsa2024-35/ |
Mozilla publikuje nowe aktualizacje zabezpieczeń dla swoich produktów. (P24-262)
Powiązane
Eskalacja uprawnień – CVE-2024-37726
3 dni temu
The impact of western sanctions on Belarus
1 tydzień temu
