Mozilla publikuje nowe aktualizacje swoich produktów. (P25-356)

utworzone przez | paź 15, 2025 | Aktualizacje

ProduktThunderbird – wersje starsze niż 140.4
Thunderbird – wersje starsze niż 144
Firefox ESR – wersje starsze niż 140.4
Firefox ESR – wersje starsze niż 115.29
Firefox – wersje starsze niż 144
Numer CVECVE-2025-11708
Krytyczność5,9/10
CVSSAV:N/AC:L/AT:N/PR:L/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:U/U:Amber
OpisLuka występuje z powodu błędu „use-after-free” w metodzie MediaTrackGraphImpl::GetInstance(). Zdalny atakujący może nakłonić ofiarę do odwiedzenia specjalnie spreparowanej witryny i wykonania w systemie dowolnego kodu.
  
Numer CVECVE-2025-11709
Krytyczność6,1/10
CVSSAV:N/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:U/U:Amber
OpisLuka występuje z powodu błędu granicznego podczas przetwarzania tekstur WebGL. Zdalny atakujący może stworzyć specjalnie spreparowaną stronę internetową, nakłonić ofiarę do jej otwarcia za pomocą zainfekowanego oprogramowania, wywołać niedozwolony zapis i wykonać dowolny kod w systemie docelowym.
  
Numer CVECVE-2025-11710
Krytyczność1.2/10
CVSSAV:N/AC:L/AT:N/PR:N/UI:A/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N/E:U/U:Green
OpisLuka istnieje z powodu nadmiernego przesyłania danych przez aplikację. Zainfekowany proces sieciowy wykorzystujący złośliwe komunikaty IPC może spowodować, że uprzywilejowany proces przeglądarki ujawni bloki swojej pamięci zaatakowanemu procesowi.
  
Numer CVECVE-2025-11711
Krytyczność6,0/10
CVSSAV:N/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:U/U:Amber
OpisLuka występuje, ponieważ aplikacja nie nakłada prawidłowo ograniczeń bezpieczeństwa, co pozwala złośliwej aplikacji internetowej na modyfikację właściwości obiektów JavaScript, które miały być niezapisywalne. Zdalny atakujący może nakłonić ofiarę do odwiedzenia specjalnie spreparowanej witryny i wykonania dowolnego kodu w systemie.
  
Numer CVECVE-2025-11712
Krytyczność0,5/10
CVSSAV:N/AC:L/AT:P/PR:N/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N/E:U/U:Clear
OpisLuka występuje z powodu niewystarczającego wdrożenia środków bezpieczeństwa. Złośliwa strona może wykorzystać atrybut „type” znacznika OBJECT do zastąpienia domyślnego zachowania przeglądarki w przypadku napotkania zasobu internetowego udostępnianego bez nagłówka „content-type”. Może to prowadzić do ataku typu XSS na stronie, która niebezpiecznie udostępnia pliki bez nagłówka „content-type”.
  
Numer CVECVE-2025-11713
Krytyczność0
CVSSAV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N/E:U
OpisLuka występuje z powodu nieprawidłowej walidacji danych wejściowych w funkcji „Kopiuj jako cURL”. Zdalny atakujący może podstępem nakłonić ofiarę do skopiowania specjalnie spreparowanego adresu URL i wykonania dowolnego kodu w systemie.
  
Numer CVECVE-2025-11714
Krytyczność6.1/10
CVSSAV:N/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:U/U:Amber
OpisLuka występuje z powodu błędu granicznego podczas przetwarzania treści HTML. Zdalny atakujący może stworzyć specjalnie spreparowaną stronę internetową, nakłonić ofiarę do jej otwarcia, spowodować uszkodzenie pamięci i wykonać dowolny kod w systemie docelowym.
  
Numer CVECVE-2025-11715
Krytyczność6.1/10
CVSSAV:N/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:U/U:Amber
OpisLuka występuje z powodu błędu granicznego podczas przetwarzania treści HTML. Zdalny atakujący może stworzyć specjalnie spreparowaną stronę internetową, nakłonić ofiarę do jej otwarcia, spowodować uszkodzenie pamięci i wykonać dowolny kod w systemie docelowym.
  
Numer CVECVE-2025-11716
Krytyczność1.2/10
CVSSAV:N/AC:L/AT:N/PR:N/UI:A/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N/E:U/U:Green
OpisLuka występuje z powodu nieprawidłowej obsługi ramek iframe w trybie sendbox. Zdalny atakujący może nakłonić ofiarę do kliknięcia specjalnie spreparowanego linku i otwarcia zewnętrznej aplikacji w systemie Android bez wymaganego uprawnienia „allow-”.
  
Numer CVECVE-2025-11717
Krytyczność0,4/10
CVSSAV:P/AC:L/AT:N/PR:N/UI:A/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N/E:U/U:Clear]
OpisLuka występuje z powodu sposobu, w jaki Firefox obsługuje ekrany związane z hasłami. Podczas przełączania się między aplikacjami na Androida za pomocą karuzeli kart, Firefox wyświetla ekran edycji hasła w postaci zwykłego tekstu.
  
Numer CVECVE-2025-11718
Krytyczność1,2/10
CVSSAV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N/E:U/U:Green
OpisLuka występuje z powodu nieprawidłowego przetwarzania danych dostarczonych przez użytkownika. Zdalny atakujący może podszyć się pod pasek adresu przeglądarki.
  
Numer CVECVE-2025-11719
Krytyczność1.2/10
CVSSAV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N/E:U/U:Green
OpisLuka występuje z powodu błędu „użyj po zwolnieniu” w natywnym interfejsie API komunikatów. Zdalny atakujący może nakłonić ofiarę do odwiedzenia specjalnie spreparowanej witryny internetowej i spowodować awarię przeglądarki.
  
Numer CVECVE-2025-11720
Krytyczność1.2/10
CVSSAV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N/E:U/U:Green
OpisLuka występuje z powodu nieprawidłowego przetwarzania danych dostarczonych przez użytkownika. Funkcja niestandardowych kart w przeglądarkach Firefox i Firefox Focus dla systemu Android pokazuje tylko załadowaną „stronę”, a nie pełną nazwę hosta, co prowadzi do ataku typu spoofing.
  
Numer CVECVE-2025-11721
Krytyczność6.1/10
CVSSAV:N/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:U/U:Amber
OpisLuka występuje z powodu błędu granicznego podczas przetwarzania zawartości HTML. Zdalny atakujący może utworzyć specjalnie spreparowaną stronę internetową, oszukać ofiarę i nakłonić ją do jej otwarcia, spowodować uszkodzenie pamięci i wykonać dowolny kod w systemie docelowym.
  
AktualizacjaTAK
LinkMFSA 2025-85 Security Vulnerabilities fixed in Thunderbird 140.4 MFSA 2025-84 Security Vulnerabilities fixed in Thunderbird 144 MFSA 2025-83 Security Vulnerabilities fixed in Firefox ESR 140.4 MFSA 2025-82 Security Vulnerabilities fixed in Firefox ESR 115.29 MFSA 2025-81 Security Vulnerabilities fixed in Firefox 144