Mozilla publikuje nowe aktualizacje zabezpieczeń dla swoich produktów. (P24-393)

utworzone przez | lis 27, 2024 | Aktualizacje

ProduktThunderbird – wersje przed 133
Thunderbird – wersje przed 128.5
Firefox ESR – wersje przed 115.18
Firefox ESR – wersje przed 128.5
Firefox – wersje przed 133
Numer CVECVE-2024-11691
Krytyczność7.7/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
OpisLuka istnieje z powodu błędu granicznego w sterownikach GPU firmy Apple. Zdalny atakujący może oszukać ofiarę, aby odwiedziła specjalnie spreparowaną stronę internetową, wywołać uszkodzenie pamięci i wykonać dowolny kod w systemie docelowym.
  
Numer CVECVE-2024-11694
Krytyczność4.7/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N/E:U/RL:O/RC:C
OpisLuka istnieje z powodu trybu Strict Enhanced Tracking Protection, który umożliwia pominięcie ramki CSP frame-src i atak XSS oparty na DOM poprzez shim Google SafeFrame w rozszerzeniu Web Compatibility. Zdalny atakujący może maskować złośliwe ramki jako legalną treść.
  
Numer CVECVE-2024-11692
Krytyczność3.8/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N/E:U/RL:O/RC:C
OpisLuka istnieje z powodu błędu, który powoduje, że rozwijana lista wyboru jest wyświetlana nad inną kartą. Zdalny atakujący może wykonać atak spoofingowy na dowolną stronę internetową.
  
Numer CVECVE-2024-11693
Krytyczność5.9/10
CVSSAV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:N/E:U/RL:O/RC:C
OpisLuka istnieje, ponieważ ostrzeżenie o pliku nie jest wyświetlane podczas pobierania plików .library-ms. Zdalny atakujący może oszukać ofiarę, aby pobrała i wykonała złośliwe pliki w systemie.
  
Numer CVECVE-2024-11695
Krytyczność4.7/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N/E:U/RL:O/RC:C
OpisLuka istnieje z powodu nieprawidłowego przetwarzania adresu URL zawierającego pismo arabskie i znaki odstępu. Zdalny atakujący może podszyć się pod adres URL witryny.
  
Numer CVECVE-2024-11696
Krytyczność5.9/10
CVSSAV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:N/E:U/RL:O/RC:C
OpisLuka istnieje z powodu nieprawidłowej obsługi wyjątku zgłoszonego przez metodę loadManifestFromFile podczas sprawdzania podpisów dodatków. Zdalny atakujący może ominąć zaimplementowany proces weryfikacji podpisów i wykonać instalację złośliwego dodatku.
  
Numer CVECVE-2024-11697
Krytyczność3.7/10
CVSSAV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:N/E:U/RL:O/RC:C
OpisLuka istnieje z powodu nieprawidłowego obchodzenia się z naciśnięciem klawisza w oknie dialogowym potwierdzenia pliku wykonywalnego. Zdalny atakujący może oszukać ofiarę, aby wykonała złośliwy plik.
  
Numer CVECVE-2024-11698
Krytyczność4.7/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N/E:U/RL:O/RC:C
OpisLuka występuje z powodu błędu w obsłudze przejść do trybu pełnoekranowego. Zdalny atakujący może zmusić przeglądarkę do zatrzymania się w trybie pełnoekranowym nawet po naciśnięciu przycisku „Esc” i wykonać atak typu spoofing.
  
Numer CVECVE-2024-11699
Krytyczność7.7/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
OpisLuka istnieje z powodu błędu granicznego podczas przetwarzania treści HTML. Zdalny atakujący może utworzyć specjalnie spreparowaną witrynę, oszukać ofiarę, aby ją otworzyła, wywołać uszkodzenie pamięci i wykonać dowolny kod w systemie docelowym.
  
Numer CVECVE-2024-11708
Krytyczność3.8/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N/E:U/RL:O/RC:C
OpisLuka istnieje z powodu braku prymitywów synchronizacji wątków. Zdalny atakujący może wywołać wyścig danych struktury PlaybackParams i uzyskać dostęp do poufnych informacji.
  
Numer CVECVE-2024-11702
Krytyczność3.8/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N/E:U/RL:O/RC:C
OpisLuka istnieje z powodu niewystarczającej ochrony schowka w trybie przeglądania prywatnego. Podczas kopiowania poufnych informacji, takich jak hasła, z kart przeglądania prywatnego w systemie Android, dane te mogą być przechowywane w historii schowka w chmurze, jeśli ta opcja jest włączona.
  
Numer CVECVE-2024-11701
Krytyczność4.7/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N/E:U/RL:O/RC:C
OpisLuka istnieje z powodu mylącego stanu paska adresu podczas przerywania nawigacji. Zdalny atakujący może przeprowadzić atak typu spoofing.
  
Numer CVECVE-2024-11703
Krytyczność1.9/10
CVSSAV:P/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N/E:U/RL:O/RC:C
OpisLuka istnieje, ponieważ aplikacja umożliwia przeglądanie przechowywanych haseł bez wymaganego uwierzytelniania PIN urządzenia. Atakujący z dostępem do urządzenia mobilnego może przeglądać hasła przechowywane w przeglądarce.
  
Numer CVECVE-2024-11700
Krytyczność3.8/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N/E:U/RL:O/RC:C
OpisLuka istnieje z powodu błędu w oknie dialogowym potwierdzenia. Zdalny atakujący może oszukać ofiarę, aby nieświadomie zatwierdziła uruchomienie zewnętrznych aplikacji na urządzeniu.
  
Numer CVECVE-2024-11704
Krytyczność5.9/10
CVSSAV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:N/E:U/RL:O/RC:C
OpisLuka istnieje z powodu błędu granicznego w funkcji sec_pkcs7_decoder_start_decrypt(). Zdalny atakujący może oszukać ofiarę, aby połączyła się ze specjalnie spreparowaną witryną, wywołać podwójny błąd free i wykonać dowolny kod w systemie docelowym.
  
Numer CVECVE-2024-11706
Krytyczność3.8/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L/E:U/RL:O/RC:C
OpisLuka istnieje z powodu błędu dereferencji wskaźnika NULL w funkcji SEC_ASN1DecodeItem_Util() w pk12util. Zdalny atakujący może oszukać ofiarę, aby otworzyła specjalnie spreparowaną witrynę i spowodowała awarię przeglądarki.
  
Numer CVECVE-2024-11705
Krytyczność3.8/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L/E:U/RL:O/RC:C
OpisLuka istnieje z powodu błędu dereferencji wskaźnika NULL w NSC_DeriveKey. Zdalny atakujący może oszukać ofiarę, aby odwiedziła specjalnie spreparowaną stronę internetową i zawiesiła przeglądarkę.
  
AktualizacjaTAK
Linkhttps://www.mozilla.org/en-US/security/advisories/mfsa2024-68/
https://www.mozilla.org/en-US/security/advisories/mfsa2024-67/
https://www.mozilla.org/en-US/security/advisories/mfsa2024-66/
https://www.mozilla.org/en-US/security/advisories/mfsa2024-65/
https://www.mozilla.org/en-US/security/advisories/mfsa2024-64/
https://www.mozilla.org/en-US/security/advisories/mfsa2024-63/