ProductFirefox – wersje przed 107 Firefox ESR – wersje przed 102.5
Numer CVECVE-2022-45421
KrytycznośćWysoka
OpisLuka wynika z błędu granicznego podczas przetwarzania treści HTML. Zdalny atakujący może stworzyć specjalnie spreparowaną stronę internetową, nakłonić ofiarę do jej otwarcia, spowodować uszkodzenie pamięci i wykonać dowolny kod w systemie docelowym.
  
Numer CVECVE-2022-45420
KrytycznośćŚrednia
OpisLuka wynika z nieprawidłowego przetwarzania tabel w ramce iframe. Osoba atakująca zdalnie może spowodować, że zawartość elementu iframe zostanie wyrenderowana poza granicami elementu iframe, co może spowodować dezorientację użytkowników lub ataki typu spoofing.
  
Numer CVECVE-2022-45415
KrytycznośćŚrednia
OpisLuka wynika z niepewnej obsługi pobranych plików. Podczas pobierania pliku HTML, jeśli tytuł strony jest sformatowany jako nazwa pliku ze złośliwym rozszerzeniem, Firefox zapisze plik z tym rozszerzeniem, prowadząc do możliwego włamania się do systemu, jeśli pobrany plik zostanie później wykonany.
  
Numer CVECVE-2022-45403
KrytycznośćWysoka
CVSS 
OpisLuka wynika z błędu w Service Workers. Osoba atakująca zdalnie może uzyskać informacje o obecności lub długości pliku multimedialnego, korzystając z informacji o czasie dla multimediów między źródłami w połączeniu z żądaniami zakresu.
  
Numer CVECVE-2022-45410
KrytycznośćŚrednia
OpisLuka wynika z błędu podczas obsługi żądań przechwyconych przez usługę ServiceWorker. Kiedy ServiceWorker przechwycił żądanie za pomocą FetchEvent, pochodzenie żądania zostało utracone po tym, jak ServiceWorker przejął je na własność. Spowodowało to zanegowanie ochrony plików cookie SameSite.
  
Numer CVECVE-2022-45409
KrytycznośćWysoki
OpisLuka wynika z błędu użycia po zwolnieniu w programie Garbage Collection. Zdalny napastnik może nakłonić ofiarę do odwiedzenia specjalnie spreparowanej strony internetowej, wywołać błąd użycia po zwolnieniu i wykonać dowolny kod w systemie.
  
Numer CVECVE-2022-45408
KrytycznośćŚrednia
OpisLuka wynika z nieprawidłowego przetwarzania serii wyskakujących okienek, które ponownie wykorzystują windowName. Osoba atakująca zdalnie może zmusić przeglądarkę do przejścia w tryb pełnoekranowy bez wyświetlania monitu o powiadomienie, co może spowodować dezorientację użytkownika lub ataki typu spoofing.
  
Numer CVECVE-2022-45407
KrytycznośćWysoka
OpisLuka wynika z błędu użycia po zwolnieniu podczas korzystania z funkcji FontFace() w procesie roboczym w tle. Zdalny napastnik może nakłonić ofiarę do odwiedzenia specjalnie spreparowanej strony internetowej, wywołać błąd użycia po zwolnieniu i wykonać dowolny kod w systemie.
  
Numer CVECVE-2022-45406
KrytycznośćWysoka
OpisLuka wynika z błędu użycia po zwolnieniu podczas obsługi dziedzin JavaScript. Zdalny napastnik może nakłonić ofiarę do odwiedzenia specjalnie spreparowanej strony internetowej, wywołać błąd użycia po zwolnieniu i wykonać dowolny kod w systemie.
  
Numer CVECVE-2022-45405
KrytycznośćWysoka
CVSS 
OpisLuka wynika z błędu użycia po zwolnieniu w implementacji InputStream. Zdalny napastnik może nakłonić ofiarę do odwiedzenia specjalnie spreparowanej strony internetowej, wywołać błąd użycia po zwolnieniu i wykonać dowolny kod w systemie.
  
Numer CVECVE-2022-45404
KrytycznośćWysoka
OpisLuka wynika z nieprawidłowego przetwarzania serii wywołań wyskakujących i window.print(). Osoba atakująca zdalnie może zmusić przeglądarkę do przejścia w tryb pełnoekranowy bez wyświetlania monitu o powiadomienie, co może spowodować dezorientację użytkownika lub ataki typu spoofing.
  
Numer CVECVE-2022-40674
KrytycznośćWysoka
OpisLuka wynika z błędu use-after-free w funkcji doContent() w xmlparse.c. Osoba atakująca zdalnie może przekazać specjalnie spreparowane dane wejściowe do aplikacji korzystającej z biblioteki, której dotyczy luka, wywołać błąd typu use-after-free i wykonać dowolny kod w systemie.
AktualizacjaTAK
Linkhttp://www.mozilla.org/en-US/security/advisories/mfsa2022-47/
http://www.mozilla.org/en-US/security/advisories/mfsa2022-48/