Mozilla publikuje nowe wersje: Mozilla Firefox i Firefox ESR

cert.pse-online.pl 1 rok temu
ProduktFirefox — wersje wcześniejsze niż 109
Numer CVECVE-2023-23597
KrytycznośćŚrednia
OpisLuka występuje z powodu błędu logicznego w alokacji procesu. Zaatakowany proces potomny sieci może wyłączyć ograniczenia bezpieczeństwa otwierania sieci i utworzyć nowy proces potomny w kontekście file://, zapewniając możliwość odczytu dowolnych plików w systemie.
Numer CVECVE-2023-23598
KrytycznośćŚrednia
OpisLuka istnieje z powodu niewłaściwie nałożonych ograniczeń bezpieczeństwa w opakowaniu Firefoksa GTK. Osoba atakująca zdalnie może nakłonić ofiarę do wykonania określonych czynności na stronie internetowej, takich jak przeciąganie obiektów i odczytywanie dowolnych plików w systemie za pośrednictwem wywołania metody DataTransfer.setData.
Numer CVECVE-2023-23599
KrytycznośćŚrednia
OpisLuka w zabezpieczeniach występuje z powodu nieprawidłowej weryfikacji danych wejściowych podczas kopiowania żądania sieciowego z panelu narzędzi programistycznych jako polecenia curl w devtools w systemie Windows. Osoba atakująca zdalnie może nakłonić ofiarę do skopiowania i wklejenia danych z żądania sieciowego do konsoli oraz wykonania dowolnych poleceń.
Numer CVECVE-2023-23600
KrytycznośćNiska
OpisLuka w zabezpieczeniach występuje z powodu błędu w sposobie obsługi powiadomień o pochodzeniu między normalnym a prywatnym przeglądaniem. W rezultacie osoba atakująca może wyświetlać powiadomienia podczas różnych sesji przeglądania.
Numer CVECVE-2023-23601
KrytycznośćNiska
OpisLuka wynika ze sposobu, w jaki przeglądarka traktuje przeciąganie adresów URL z elementu iframe z różnych źródeł na tę samą kartę. Zdalny atakujący może przeprowadzić atak polegający na fałszowaniu.
Numer CVECVE-2023-23602
KrytycznośćŚrednia
OpisLuka w zabezpieczeniach występuje z powodu nieprawidłowego przetwarzania CSP. Niewłaściwa kontrola bezpieczeństwa podczas tworzenia elementu WebSocket w produkcie WebWorker spowodowała zignorowanie nagłówka connect-src zasad bezpieczeństwa treści. Może to prowadzić do połączeń z zastrzeżonymi źródłami z wewnątrz WebWorkers.
Numer CVECVE-2023-23603
KrytycznośćNiska
OpisLuka wynika z użycia niepoprawnego wyrażenia regularnego podczas odfiltrowywania zabronionych adekwatności i wartości z dyrektyw stylów w wywołaniach console.log. Osoba atakująca zdalnie może wykraść dane z przeglądarki ofiary.
Numer CVECVE-2023-23604
KrytycznośćNiska
OpisLuka wynika z możliwości utworzenia duplikatu obiektu SystemPrincipal podczas analizowania niesystemowego dokumentu HTML za pośrednictwem DOMParser::ParseFromSafeString. Mogło to doprowadzić do obejścia kontroli bezpieczeństwa sieci.
Numer CVECVE-2023-23605
KrytycznośćWysoka
OpisLuka w zabezpieczeniach występuje z powodu błędu granicznego podczas przetwarzania zawartości HTML. Osoba atakująca zdalnie może nakłonić ofiarę do odwiedzenia specjalnie spreparowanej witryny internetowej, spowodować uszkodzenie pamięci i wykonać dowolny kod w systemie docelowym.
Numer CVECVE-2023-23606
KrytycznośćWysoka
OpisLuka w zabezpieczeniach występuje z powodu błędu granicznego podczas przetwarzania zawartości HTML. Osoba atakująca zdalnie może nakłonić ofiarę do odwiedzenia specjalnie spreparowanej witryny internetowej, spowodować uszkodzenie pamięci i wykonać dowolny kod w systemie docelowym.
AktualizacjaTAK
Linkhttps://www.mozilla.org/en-US/security/advisories/mfsa2023-01/
ProduktFirefox ESR — wersje wcześniejsze niż 102.7
Numer CVECVE-2022-46871
KrytycznośćWysoka
OpisLuka w zabezpieczeniach występuje z powodu błędu granicznego w pliku libusrsctp. Osoba atakująca zdalnie może spowodować uszkodzenie pamięci i wykonać dowolny kod w systemie docelowym.
Numer CVECVE-2023-23598
KrytycznośćŚrednia
OpisLuka istnieje z powodu niewłaściwie nałożonych ograniczeń bezpieczeństwa w opakowaniu Firefoksa GTK. Osoba atakująca zdalnie może nakłonić ofiarę do wykonania określonych działań na stronie internetowej, takich jak przeciąganie obiektów i odczytywanie dowolnych plików w systemie za pośrednictwem wywołania metody DataTransfer.setData.
Numer CVECVE-2023-23599
KrytycznośćŚrednia
OpisLuka w zabezpieczeniach występuje z powodu nieprawidłowej weryfikacji danych wejściowych podczas kopiowania żądania sieciowego z panelu narzędzi programistycznych jako polecenia curl w devtools w systemie Windows. Osoba atakująca zdalnie może nakłonić ofiarę do skopiowania i wklejenia danych z żądania sieciowego do konsoli oraz wykonania dowolnych poleceń.
Numer CVECVE-2023-23601
KrytycznośćNiska
OpisLuka wynika ze sposobu, w jaki przeglądarka traktuje przeciąganie adresów URL z elementu iframe z różnych źródeł na tę samą kartę. Zdalny atakujący może przeprowadzić atak polegający na fałszowaniu.
Numer CVECVE-2023-23602
KrytycznośćŚrednia
OpisLuka w zabezpieczeniach występuje z powodu nieprawidłowego przetwarzania CSP. Niewłaściwa kontrola bezpieczeństwa podczas tworzenia elementu WebSocket w produkcie WebWorker spowodowała zignorowanie nagłówka connect-src zasad bezpieczeństwa treści. Może to prowadzić do połączeń z zastrzeżonymi źródłami z wewnątrz WebWorkers.
Numer CVECVE-2022-46877
KrytycznośćŚrednia
OpisLuka wynika ze sposobu, w jaki przeglądarka wyświetla powiadomienia pełnoekranowe. Osoba atakująca zdalnie może zmylić przeglądarkę, opóźniając lub blokując powiadomienia pełnoekranowe i przeprowadzając atak polegający na fałszowaniu.
Numer CVECVE-2023-23603
KrytycznośćNiska
OpisLuka wynika z użycia niepoprawnego wyrażenia regularnego podczas odfiltrowywania zabronionych adekwatności i wartości z dyrektyw stylów w wywołaniach console.log. Osoba atakująca zdalnie może wykraść dane z przeglądarki ofiary.
Numer CVECVE-2023-23605
KrytycznośćWysoka
OpisLuka w zabezpieczeniach występuje z powodu błędu granicznego podczas przetwarzania zawartości HTML. Osoba atakująca zdalnie może nakłonić ofiarę do odwiedzenia specjalnie spreparowanej witryny internetowej, spowodować uszkodzenie pamięci i wykonać dowolny kod w systemie docelowym.
AktualizacjaTAK
Linkhttps://www.mozilla.org/en-US/security/advisories/mfsa2023-02/
Idź do oryginalnego materiału