Mozilla publikuje nowe aktualizacje swoich produktów. (P25-102)

utworzone przez | kwi 7, 2025 | Aktualizacje

ProduktThunderbird ESR – wersje wcześniejsze niż 128.9
Thunderbird – wersje wcześniejsze niż 137
Firefox ESR – wersje wcześniejsze niż 128.9
Firefox ESR – wersje wcześniejsze niż 115.22
Firefox – wersje wcześniejsze niż 137
Numer CVECVE-2025-3028
Krytyczność6.1/10
CVSSAV:N/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:U/U:Amber
OpisLuka istnieje z powodu błędu use-after-free w XSLTProcessor. Zdalny atakujący może oszukać ofiarę, aby odwiedziła specjalnie spreparowaną stronę internetową, wywołać błąd use-after-free i wykonać dowolny kod w systemie.
  
Numer CVECVE-2025-3031
Krytyczność0.5/10
CVSSAV:N/AC:H/AT:N/PR:N/UI:A/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N/E:U/U:Clear
OpisLuka istnieje z powodu błędu optymalizacji JIT. Zdalny atakujący może odczytać 32 bity wartości rozlanych na stos w skompilowanej funkcji JIT.
  
Numer CVECVE-2025-3032
Krytyczność1.1/10
CVSSAV:L/AC:L/AT:N/PR:L/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N/E:U/U:Clear
OpisLuka istnieje, ponieważ przeglądarka przecieka deskryptory plików z serwera fork do procesów zawartości sieci web. Lokalny użytkownik może wykorzystać te informacje do eskalacji uprawnień w systemie.
  
Numer CVECVE-2025-3029
Krytyczność1.2/10
CVSSAV:N/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:U/U:Amber
OpisMoże to powodować ryzyko stosowania znaków Unicode innych niż BMP. Zdalny przekazujący może być stosowany specjalnie spreparowanego adresu URL, aby podszyć się pod paskiem adresu URL w urządzeniu.
  
Numer CVECVE-2025-3033
Krytyczność0.5/10
CVSSAV:N/AC:H/AT:N/PR:N/UI:A/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N/E:U/U:Clear
OpisLuka występuje w sposobie, w jaki Firefox obsługuje skróty Windows .url. Zdalny atakujący może oszukać ofiarę, aby kliknęła na specjalnie spreparowany skrót i zmusiła przeglądarkę do otwarcia innego pliku.
  
Numer CVECVE-2025-3030
Krytyczność6.1/10
CVSSAV:N/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:U/U:Amber
OpisLuka istnieje z powodu błędu granicznego podczas przetwarzania treści HTML. Zdalny atakujący może utworzyć specjalnie spreparowaną witrynę, oszukać ofiarę, aby ją otworzyła, wywołać uszkodzenie pamięci i wykonać dowolny kod w systemie docelowym.
  
Numer CVECVE-2025-3034
Krytyczność6.1/10
CVSSAV:N/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:U/U:Amber
OpisLuka istnieje z powodu błędu granicznego podczas przetwarzania treści HTML. Zdalny atakujący może utworzyć specjalnie spreparowaną witrynę, oszukać ofiarę, aby ją otworzyła, wywołać uszkodzenie pamięci i wykonać dowolny kod w systemie docelowym.
  
AktualizacjaTAK
Linkhttps://www.mozilla.org/en-US/security/advisories/mfsa2025-23/