ProduktFirefox – wersje przed 105
Firefox ESR – wersje przed 102,3
Thunderbird – wersja przed 102,3
Numer CVECVE-2022-40959
KrytycznośćŚredni
CVSSNie dotyczy
OpisLuka istnieje z powodu nieprawidłowej inicjalizacji FeaturePolicy na wszystkich stronach podczas nawigacji iframe. Zdalny atakujący może nakłonić ofiarę do otwarcia specjalnie spreparowanej strony internetowej, ominąć ograniczenia FeaturePolicy i zmusić przeglądarkę do ujawnienia uprawnień urządzenia do niezaufanych poddokumentów.
  
Numer CVECVE-2022-40960
KrytycznośćWysoki
CVSSNie dotyczy
OpisLuka ta jest spowodowana błędem use-after-free spowodowanym równoczesnym używaniem parsera URL z danymi innymi niż UTF-8. Zdalny napastnik może nakłonić ofiarę do odwiedzenia specjalnie spreparowanej strony internetowej, wywołać błąd użycia po zwolnieniu i wykonać dowolny kod w systemie.
  
Numer CVECVE-2022-40958
KrytycznośćŚredni
CVSSNie dotyczy
OpisLuka wynika z nieprawidłowej obsługi plików cookie. Zdalny atakujący z dostępem do współdzielonej subdomeny może wstrzyknąć pliki cookie z pewnymi znakami specjalnymi, ominąć ograniczenie Secure Context dla plików cookie z prefiksem __Host i __Secure oraz nadpisać te pliki cookie, potencjalnie umożliwiając ataki polegające na utrwalaniu sesji.
   
Numer CVECVE-2022-40961
KrytycznośćWysoki
CVSSNie dotyczy
OpisLuka wynika z błędu granicznego w sterowniku graficznym. Zdalny atakujący może nakłonić ofiarę do otwarcia specjalnie spreparowanej strony internetowej, spowodować uszkodzenie pamięci i wykonanie dowolnego kodu w systemie docelowym.
  
Numer CVECVE-2022-40956
KrytycznośćŚredni
CVSSNie dotyczy
OpisLuka istnieje, ponieważ niektóre żądania mogą ignorować ustawienia base-uri dostawcy CSP podczas obsługi wstrzykiwania podstawowego elementu HTML. Zdalny atakujący może zmusić przeglądarkę do zaakceptowania bazy wstrzykiwanego elementu zamiast oryginalnego kodu, co prowadzi do obejścia polityki bezpieczeństwa treści.
  
Numer CVECVE-2022-40957
KrytycznośćŚredni
CVSSNie dotyczy
OpisLuka wynika z niespójnych danych w pamięci podręcznej instrukcji i danych podczas tworzenia kodu wasm. Osoba atakująca zdalnie może nakłonić ofiarę do otwarcia specjalnie spreparowanej strony internetowej, spowodować uszkodzenie pamięci i potencjalnie wykonać dowolny kod.
  
Numer CVECVE-2022-40962
KrytycznośćWysoki
CVSSNie dotyczy
OpisLuka wynika z błędu granicznego podczas przetwarzania treści HTML. Zdalny atakujący może stworzyć specjalnie spreparowaną stronę internetową, nakłonić ofiarę do jej otwarcia, spowodować uszkodzenie pamięci i wykonać dowolny kod w systemie docelowym.
  
AktualizacjaTAK
Linkhttps://www.mozilla.org/en-US/security/advisories/mfsa2022-40/
https://www.mozilla.org/en-US/security/advisories/mfsa2022-41/
https://www.mozilla.org/en-US/security/advisories/mfsa2022-42/
ProduktThunderbird – wersje przed 91.13.1
Numer CVECVE-2022-3033
Krytyczność7,5/10
CVSSAV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
OpisLuka wynika ze sposobu, w jaki Thunderbird obsługuje metatag mający atrybut http-equiv=”refresh” w wiadomościach e-mail, gdy użytkownik odpowiada na wiadomość e-mail. Zdalny atakujący może wysłać ofierze specjalnie spreparowaną wiadomość e-mail i zmusić aplikację do zainicjowania żądań do zewnętrznego adresu URL, niezależnie od konfiguracji blokowania zdalnej zawartości.
  
Numer CVECVE-2022-3032
Krytyczność6.1/10
CVSSAV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
OpisIstnieje luka związana z nieprawidłowym przetwarzaniem wiadomości e-mail w formacie HTML z elementem iframe, który używa atrybutu srcdoc do zdefiniowania wewnętrznego dokumentu HTML. Osoba atakująca zdalnie może nakłonić ofiarę do otwarcia specjalnie spreparowanej wiadomości e-mail i ominąć blokowanie zdalnych obiektów określonych w zagnieżdżonym dokumencie, na przykład obrazów lub filmów.
  
Numer CVECVE-2022-3034
Krytyczność6.1/10
CVSSAV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
OpisLuka wynika z tego, że elementy iframe w wiadomości e-mail w formacie HTML wymuszają na aplikacji inicjowanie żądań sieciowych. Zdalny atakujący może użyć ramki iframe, aby potwierdzić, że e-mail został przeczytany przez ofiarę i uzyskać adres IP ofiary.
  
AktualizacjaTAK
Linkhttps://www.mozilla.org/en-US/security/advisories/mfsa2022-39/