Mozilla publikuje nowe aktualizacje zabezpieczeń dla swoich produktów. (P24-165)

utworzone przez | maj 16, 2024 | Aktualizacje

ProduktFirefox – wersje starsze niż 126
Firefox ESR – wersje starsze niż 115.11
Thunderbird – wersje starsze niż 115.11*
Numer CVECVE-2024-4367*
Krytyczność7,7/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
OpisLuka wynika z błędu polegającego na pomyleniu typów podczas obsługi czcionek w formacie PDF.js. Osoba atakująca zdalnie może oszukać ofiarę, aby odwiedziła specjalnie spreparowaną witrynę internetową, wywołała błąd pomylenia typów i wykonała dowolny kod w systemie docelowym.
  
Numer CVECVE-2024-4764
Krytyczność7,7/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
OpisLuka wynika z błędu „use after free” występującego podczas obsługi nowo podłączonego wejścia audio za pośrednictwem wielu wątków WebRTC. Osoba atakująca zdalnie może oszukać ofiarę, aby otworzyła specjalnie spreparowaną witrynę internetową i wykonała dowolny kod w systemie.
  
Numer CVECVE-2024-4765
Krytyczność4,4/10
CVSSAV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:L/E:U/RL:O/RC:C
OpisLuka wynika z tego, że manifesty aplikacji internetowych przechowywane w przeglądarce korzystają z niezabezpieczonego skrótu MD5, co umożliwia kolizję skrótu w celu zastąpienia manifestu innej aplikacji. Osoba atakująca zdalnie może wykonać dowolny kod w kontekście innej aplikacji.
  
Numer CVECVE-2024-4766
Krytyczność4,7/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N/E:U/RL:O/RC:C
OpisLuka wynika ze sposobu, w jaki przeglądarka obsługuje powiadomienia pełnoekranowe. Osoba atakująca zdalnie może zasłonić powiadomienie pełnoekranowe i przeprowadzić atak polegający na fałszowaniu.
  
Numer CVECVE-2024-4767*
Krytyczność2,9/10
CVSSAV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N/E:U/RL:O/RC:C
OpisLuka wynika z tego, że przeglądarka nie usuwa plików IndexedDB po zamknięciu okna przeglądarki, jeśli włączona jest preferencja `browser.privatebrowsing.autostart`. Użytkownik lokalny może wyświetlić plik i uzyskać dostęp do danych przeglądanych w trybie przeglądania prywatnego.
  
Numer CVECVE-2024-4768*
Krytyczność4,7/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N/E:U/RL:O/RC:C
OpisLuka wynika z błędu w interakcji wyskakujących powiadomień z WebAuthn. Osoba atakująca zdalnie może oszukać ofiarę, aby przyznała uprawnienia złośliwej aplikacji internetowej.
  
Numer CVECVE-2024-4769*
Krytyczność3,8/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N/E:U/RL:O/RC:C
OpisLuka wynika z tego, że przeglądarka wyświetla różne komunikaty o błędach w odpowiedziach aplikacji/javascript i odpowiedziach innych niż skrypty podczas importowania zasobów przy użyciu modułów roboczych Web. Osoba atakująca zdalnie może oszukać ofiarę, aby odwiedziła specjalnie spreparowaną witrynę internetową i uzyskała informacje z różnych źródeł
  
Numer CVECVE-2024-4770*
Krytyczność3,8/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L/E:U/RL:O/RC:C
OpisLuka wynika z błędu „use after free” występującego podczas zapisywania strony w formacie PDF. Osoba atakująca zdalnie może oszukać ofiarę, aby zapisała specjalnie spreparowaną stronę internetową w formacie PDF i spowodowała awarię przeglądarki.
  
Numer CVECVE-2024-4771
Krytyczność7,7/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
OpisLuka wynika z błędu użycia po zwolnieniu podczas przetwarzania treści HTML. Osoba atakująca zdalnie może oszukać ofiarę, aby odwiedziła specjalnie spreparowaną witrynę internetową, wywołała błąd „use after free” i wykonała dowolny kod w systemie.
  
Numer CVECVE-2024-4772
Krytyczność3,7/10
CVSSAV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:N/E:U/RL:O/RC:C
OpisLuka wynika z tego, że Firefox używa niezabezpieczonej funkcji Rand() do generowania wartości jednorazowej na potrzeby uwierzytelnienia za pomocą skrótu HTTP. Osoba atakująca zdalnie może odgadnąć jednorazowo i potencjalnie uzyskać nieautoryzowany dostęp do sesji ofiary.
  
Numer CVECVE-2024-4773
Krytyczność2,7/10
CVSSAV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N/E:U/RL:O/RC:C
OpisLuka wynika z nieprawidłowej obsługi błędów sieciowych podczas ładowania strony, co może spowodować, że poprzednia treść pozostanie widoczna z pustym paskiem adresu URL. Osoba atakująca zdalnie może przeprowadzić atak polegający na fałszowaniu.
  
Numer CVECVE-2024-4774
Krytyczność2,4/10
CVSSAV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N/E:U/RL:O/RC:C
OpisLuka wynika z błędu w funkcji ShmemCharMapHashEntry(). Osoba atakująca zdalnie może ominąć pewne ograniczenia bezpieczeństwa.
  
Numer CVECVE-2024-4775
Krytyczność2,7/10
CVSSAV:N/AC:H/PR:N/UI:R/S:U/C:N/I:N/A:L/E:U/RL:O/RC:C
OpisLuka wynika z błędu granicznego podczas obsługi kodu WASM we wbudowanym profilerze. Osoba atakująca zdalnie może oszukać ofiarę, aby odwiedziła specjalnie spreparowaną witrynę internetową i spowodowała awarię przeglądarki.
  
Numer CVECVE-2024-4776
Krytyczność2,7/10
CVSSAV:N/AC:H/PR:N/UI:R/S:U/C:N/I:N/A:L/E:U/RL:O/RC:C
OpisLuka wynika z błędu podczas wyświetlania okna dialogowego pliku w trybie pełnoekranowym. Osoba atakująca zdalnie może wyłączyć okno przeglądarki.
  
Numer CVECVE-2024-4777*
Krytyczność7,7/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
OpisLuka wynika z błędu granicznego podczas przetwarzania treści HTML. Osoba atakująca zdalnie może utworzyć specjalnie spreparowaną stronę internetową, nakłonić ofiarę do jej otwarcia, wywołać uszkodzenie pamięci i wykonać dowolny kod w systemie docelowym.
  
Numer CVECVE-2024-4778
Krytyczność7,7/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
OpisLuka wynika z błędu granicznego podczas przetwarzania treści HTML. Osoba atakująca zdalnie może stworzyć specjalnie spreparowaną witrynę internetową, nakłonić ofiarę do jej otwarcia, wywołać uszkodzenie pamięci i wykonać dowolny kod w systemie docelowym.
  
AktualizacjaTAK
Linkhttps://www.mozilla.org/en-US/security/advisories/mfsa2024-21/ https://www.mozilla.org/en-US/security/advisories/mfsa2024-22/ https://www.mozilla.org/en-US/security/advisories/mfsa2024-23/