Mozilla publikuje nowe wersje: Mozilla Firefox i Firefox ESR
cert.pse-online.pl 1 rok temu
Produkt
Firefox — wersje wcześniejsze niż 109
Numer CVE
CVE-2023-23597
Krytyczność
Średnia
Opis
Luka występuje z powodu błędu logicznego w alokacji procesu. Zaatakowany proces potomny sieci może wyłączyć ograniczenia bezpieczeństwa otwierania sieci i utworzyć nowy proces potomny w kontekście file://, zapewniając możliwość odczytu dowolnych plików w systemie.
Numer CVE
CVE-2023-23598
Krytyczność
Średnia
Opis
Luka istnieje z powodu niewłaściwie nałożonych ograniczeń bezpieczeństwa w opakowaniu Firefoksa GTK. Osoba atakująca zdalnie może nakłonić ofiarę do wykonania określonych czynności na stronie internetowej, takich jak przeciąganie obiektów i odczytywanie dowolnych plików w systemie za pośrednictwem wywołania metody DataTransfer.setData.
Numer CVE
CVE-2023-23599
Krytyczność
Średnia
Opis
Luka w zabezpieczeniach występuje z powodu nieprawidłowej weryfikacji danych wejściowych podczas kopiowania żądania sieciowego z panelu narzędzi programistycznych jako polecenia curl w devtools w systemie Windows. Osoba atakująca zdalnie może nakłonić ofiarę do skopiowania i wklejenia danych z żądania sieciowego do konsoli oraz wykonania dowolnych poleceń.
Numer CVE
CVE-2023-23600
Krytyczność
Niska
Opis
Luka w zabezpieczeniach występuje z powodu błędu w sposobie obsługi powiadomień o pochodzeniu między normalnym a prywatnym przeglądaniem. W rezultacie osoba atakująca może wyświetlać powiadomienia podczas różnych sesji przeglądania.
Numer CVE
CVE-2023-23601
Krytyczność
Niska
Opis
Luka wynika ze sposobu, w jaki przeglądarka traktuje przeciąganie adresów URL z elementu iframe z różnych źródeł na tę samą kartę. Zdalny atakujący może przeprowadzić atak polegający na fałszowaniu.
Numer CVE
CVE-2023-23602
Krytyczność
Średnia
Opis
Luka w zabezpieczeniach występuje z powodu nieprawidłowego przetwarzania CSP. Niewłaściwa kontrola bezpieczeństwa podczas tworzenia elementu WebSocket w produkcie WebWorker spowodowała zignorowanie nagłówka connect-src zasad bezpieczeństwa treści. Może to prowadzić do połączeń z zastrzeżonymi źródłami z wewnątrz WebWorkers.
Numer CVE
CVE-2023-23603
Krytyczność
Niska
Opis
Luka wynika z użycia niepoprawnego wyrażenia regularnego podczas odfiltrowywania zabronionych adekwatności i wartości z dyrektyw stylów w wywołaniach console.log. Osoba atakująca zdalnie może wykraść dane z przeglądarki ofiary.
Numer CVE
CVE-2023-23604
Krytyczność
Niska
Opis
Luka wynika z możliwości utworzenia duplikatu obiektu SystemPrincipal podczas analizowania niesystemowego dokumentu HTML za pośrednictwem DOMParser::ParseFromSafeString. Mogło to doprowadzić do obejścia kontroli bezpieczeństwa sieci.
Numer CVE
CVE-2023-23605
Krytyczność
Wysoka
Opis
Luka w zabezpieczeniach występuje z powodu błędu granicznego podczas przetwarzania zawartości HTML. Osoba atakująca zdalnie może nakłonić ofiarę do odwiedzenia specjalnie spreparowanej witryny internetowej, spowodować uszkodzenie pamięci i wykonać dowolny kod w systemie docelowym.
Numer CVE
CVE-2023-23606
Krytyczność
Wysoka
Opis
Luka w zabezpieczeniach występuje z powodu błędu granicznego podczas przetwarzania zawartości HTML. Osoba atakująca zdalnie może nakłonić ofiarę do odwiedzenia specjalnie spreparowanej witryny internetowej, spowodować uszkodzenie pamięci i wykonać dowolny kod w systemie docelowym.
Luka w zabezpieczeniach występuje z powodu błędu granicznego w pliku libusrsctp. Osoba atakująca zdalnie może spowodować uszkodzenie pamięci i wykonać dowolny kod w systemie docelowym.
Numer CVE
CVE-2023-23598
Krytyczność
Średnia
Opis
Luka istnieje z powodu niewłaściwie nałożonych ograniczeń bezpieczeństwa w opakowaniu Firefoksa GTK. Osoba atakująca zdalnie może nakłonić ofiarę do wykonania określonych działań na stronie internetowej, takich jak przeciąganie obiektów i odczytywanie dowolnych plików w systemie za pośrednictwem wywołania metody DataTransfer.setData.
Numer CVE
CVE-2023-23599
Krytyczność
Średnia
Opis
Luka w zabezpieczeniach występuje z powodu nieprawidłowej weryfikacji danych wejściowych podczas kopiowania żądania sieciowego z panelu narzędzi programistycznych jako polecenia curl w devtools w systemie Windows. Osoba atakująca zdalnie może nakłonić ofiarę do skopiowania i wklejenia danych z żądania sieciowego do konsoli oraz wykonania dowolnych poleceń.
Numer CVE
CVE-2023-23601
Krytyczność
Niska
Opis
Luka wynika ze sposobu, w jaki przeglądarka traktuje przeciąganie adresów URL z elementu iframe z różnych źródeł na tę samą kartę. Zdalny atakujący może przeprowadzić atak polegający na fałszowaniu.
Numer CVE
CVE-2023-23602
Krytyczność
Średnia
Opis
Luka w zabezpieczeniach występuje z powodu nieprawidłowego przetwarzania CSP. Niewłaściwa kontrola bezpieczeństwa podczas tworzenia elementu WebSocket w produkcie WebWorker spowodowała zignorowanie nagłówka connect-src zasad bezpieczeństwa treści. Może to prowadzić do połączeń z zastrzeżonymi źródłami z wewnątrz WebWorkers.
Numer CVE
CVE-2022-46877
Krytyczność
Średnia
Opis
Luka wynika ze sposobu, w jaki przeglądarka wyświetla powiadomienia pełnoekranowe. Osoba atakująca zdalnie może zmylić przeglądarkę, opóźniając lub blokując powiadomienia pełnoekranowe i przeprowadzając atak polegający na fałszowaniu.
Numer CVE
CVE-2023-23603
Krytyczność
Niska
Opis
Luka wynika z użycia niepoprawnego wyrażenia regularnego podczas odfiltrowywania zabronionych adekwatności i wartości z dyrektyw stylów w wywołaniach console.log. Osoba atakująca zdalnie może wykraść dane z przeglądarki ofiary.
Numer CVE
CVE-2023-23605
Krytyczność
Wysoka
Opis
Luka w zabezpieczeniach występuje z powodu błędu granicznego podczas przetwarzania zawartości HTML. Osoba atakująca zdalnie może nakłonić ofiarę do odwiedzenia specjalnie spreparowanej witryny internetowej, spowodować uszkodzenie pamięci i wykonać dowolny kod w systemie docelowym.