Mozilla poinformowała o wydaniu aktualizacji przeglądarki Firefox 66.0.1 i Firexfox ESR 60.6.1. Naprawione zostały 7 krytyczne podatności:
- CVE-2019-9810 – użycie niepoprawnego aliasu w kodzie kompilowanym przez IonMonkey JIT może prowadzić do wyjścia poza zakres i przepełnienia bufora.
- CVE-2019-9813 – nieprawidłowa obsługa mutacji __proto__ w kodzie kompilowanym przez IonMonkey JIT może umożliwić dowolny odczyt i zapis pamięci.
- CVE-2019-9790 – luka typu “use-after-free” może wystąpić, gdy wskaźnik do elementu DOM na stronie, jest uzyskiwany za pomocą JavaScript, a następnie zostaje usunięty mimo, że dalej jest w użyciu.
- CVE-2019-9791 – system wnioskowania typu w kompilatorze IonMonkey może w pewnych przypadkach spowodować tzw. podatność “type confunsion”. Pozwala to na odczyt i zapis dowolnych obiektów podczas kontrolowanego, awaryjnego zamknięcia programu.
- CVE-2019-9792 – kompilator IonMonkey JIT może ujawnić wewnętrzną wartość JS_OPTIMIZED_OUT do uruchomionego skryptu. Ta wartość może być następnie wykorzystana przez JavaScript do uszkodzenia pamięci, co powoduje potencjalnie możliwą do wykorzystania awarię.
- CVE-2019-9788, CVE-2019-9789 – uszkodzenie pamięci umożliwia wykonanie dowolnego kodu.
Więcej informacji:
- https://www.mozilla.org/en-US/security/advisories/mfsa2019-07/
- https://www.mozilla.org/en-US/security/advisories/mfsa2019-08/
- https://www.mozilla.org/en-US/security/advisories/mfsa2019-09/
- https://www.mozilla.org/en-US/security/advisories/mfsa2019-10/
CERT PSE zachęca użytkowników i administratorów do zapoznania się ze szczegółami na stronie Mozilli i zastosowania niezbędnych aktualizacji.
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny