| Produkt | Firefox ESR wersje wcześniejsze od 102.15 Firefox ESR wersje wcześniejsze od 115.2 Firefox wersje wcześniejsze od 117 Thunderbird wersje wcześniejsze od 102.15 Thunderbird wersje wcześniejsze od 115.2 |
| CVE | CVE-2023-4573 |
| Krytyczność | Wysoka |
| CVSS | Jeszcze nie opublikowano |
| Opis | Podczas odbierania danych renderowania przez IPC, mStream może zostać zniszczony podczas inicjalizacji, co może doprowadzić do wykorzystania use-after-free, powodując potencjalnie możliwą do wykorzystania awarię. |
| Uaktualnienie | Tak |
| CVE | CVE-2023-4574 |
| Krytyczność | Wysoka |
| CVSS | Jeszcze nie opublikowano |
| Opis | Luka wynika z błędu use-after-free w IPC ColorPickerShownCallback. Osoba atakująca zdalnie może oszukać ofiarę, aby otworzyła specjalnie spreparowaną witrynę internetową, spowodowała uszkodzenie pamięci i wykonała dowolny kod w systemie. |
| Tak | |
| CVE | CVE-2023-4575 |
| Krytyczność | Wysoka |
| CVSS | Jeszcze nie opublikowano |
| Opis | Luka wynika z błędu use-after-free w IPC FilePickerShownCallback. Osoba atakująca zdalnie może oszukać ofiarę, aby otworzyła specjalnie spreparowaną witrynę internetową, spowodowała uszkodzenie pamięci i wykonała dowolny kod w systemie. |
| Uaktualnienie | Tak |
| CVE | CVE-2023-4576 |
| Krytyczność | Wysoka |
| CVSS | Jeszcze nie opublikowano |
| Opis | Luka wynika z przepełnienia liczb całkowitych w RecordedSourceSurfaceCreation. Osoba atakująca zdalnie może nakłonić ofiarę do odwiedzenia specjalnie spreparowanej witryny internetowej, wywołać przepełnienie liczby całkowitej i wykonać dowolny kod w systemie doceNiskaym. Tylko Windows |
| Uaktualnienie | Tak |
| CVE | CVE-2023-4579 |
| Krytyczność | Średnia |
| CVSS | Jeszcze nie opublikowano |
| Opis | Luka wynika z niedostatecznej weryfikacji danych wprowadzonych przez użytkownika podczas obsługi trwałych wyszukiwanych haseł. Zapytania wyszukiwane w domyślnej wyszukiwarce mogą sprawiać wrażenie aktualnie odwiedzanego adresu URL, jeśli samo wyszukiwane hasło ma prawidłowy adres URL. W rezultacie osoba atakująca zdalnie może przeprowadzić atak polegający na podszywaniu się, jeśli została złośliwie ustawiona jako domyślna wyszukiwarka. |
| Uaktualnienie | Tak |
| CVE | CVE-2023-4581 |
| Krytyczność | Średnia |
| CVSS | Jeszcze nie opublikowano |
| Opis | Luka wynika z braku ostrzeżenia podczas pobierania plików dodatków Excel .xll. Osoba atakująca zdalnie może nakłonić ofiarę do odwiedzenia specjalnie spreparowanej witryny internetowej i zmusić przeglądarkę do pobrania potencjalnie niebezpiecznych plików bez żadnego ostrzeżenia. |
| Uaktualnienie | |
| CVE | CVE-2023-4584 |
| Krytyczność | Wysoka |
| CVSS | Jeszcze nie opublikowano |
| Opis | Luka wynika z błędu granicznego podczas przetwarzania treści HTML. Osoba atakująca zdalnie może stworzyć specjalnie spreparowaną witrynę internetową, nakłonić ofiarę do jej otwarcia, wywołać uszkodzenie pamięci i wykonać dowolny kod w systemie doceNiskaym. |
| Uaktualnienie | Tak |
| CVE | CVE-2023-4577 |
| Krytyczność | Wysoka |
| CVSS | Jeszcze nie opublikowano |
| Opis | Luka wynika z błędu granicznego w JIT UpdateRegExpStatics, gdy UpdateRegExpStatics próbował uzyskać dostęp do originStringHeap. Osoba atakująca zdalnie może stworzyć specjalnie spreparowaną witrynę internetową, nakłonić ofiarę do jej otwarcia, wywołać uszkodzenie pamięci i wykonać dowolny kod w systemie doceNiskaym. |
| Uaktualnienie | Tak |
| CVE | CVE-2023-4578 |
| Krytyczność | Średnia |
| CVSS | Jeszcze nie opublikowano |
| Opis | Luka wynika z tego, że aplikacja nie kontroluje prawidłowo zużycia zasobów wewnętrznych w JS::CheckRegExpSyntax. Osoba atakująca zdalnie może spowodować wyczerpanie zasobów i przeprowadzić atak typu „odmowa usługi” (DoS). |
| Uaktualnienie | Tak |
| CVE | CVE-2023-4580 |
| Krytyczność | Średnia |
| CVSS | Jeszcze nie opublikowano |
| Opis | Luka wynika z tego, że powiadomienia push są zapisywane na dysku w postaci niezaszyfrowanej. Użytkownik lokalny może uzyskać dostęp do potencjalnie wrażliwych informacji. |
| Uaktualnienie | Tak |
| CVE | CVE-2023-4582 |
| Krytyczność | Niska |
| CVSS | Jeszcze nie opublikowano |
| Opis | Luka wynika z błędu granicznego w glGetProgramiv WebGL. Osoba atakująca zdalnie może oszukać ofiarę, aby otworzyła specjalnie spreparowaną witrynę internetową, spowodowała uszkodzenie pamięci i wykonała dowolny kod w systemie doceNiskaym. |
| Uaktualnienie | Tak |
| CVE | CVE-2023-4583 |
| Krytyczność | Niska |
| CVSS | Jeszcze nie opublikowano |
| Opis | Luka istnieje, ponieważ dane sesji prywatnej nie są czyszczone w HttpBaseChannel podczas zamykania okna prywatnego. Osoba atakująca zdalnie może uzyskać informacje z nieczyszczonej sesji. |
| Uaktualnienie | Tak |
| CVE | CVE-2023-4585 |
| Krytyczność | Wysoka |
| CVSS | Jeszcze nie opublikowano |
| Opis | Luka wynika z błędu granicznego podczas przetwarzania treści HTML. Osoba atakująca zdalnie może nakłonić ofiarę do odwiedzenia specjalnie spreparowanej witryny internetowej, spowodować uszkodzenie pamięci i wykonanie dowolnego kodu w systemie doceNiskaym. |
| Uaktualnienie | Tak |
| Link | https://www.mozilla.org/en-US/security/advisories/mfsa2023-34/ https://www.mozilla.org/en-US/security/advisories/mfsa2023-36/ https://www.mozilla.org/en-US/security/advisories/mfsa2023-35/ |
Mozilla informacje o lukach w: Mozilla Firefox i Firefox ESR i Thunderbird (P23-224)
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny