| Produkt | Mozilla Firefox: 103.0 – 109.0 Firefox ESR: 102.0 – 102.7.0 Firefox for Android: 100.1.0 – 109.2.0 |
| Numer CVE | CVE-2023-25740 |
| Krytyczność | Średnia |
| Opis | Luka wynika z błędu podczas obsługi skryptów .scf, które są otwierane przez przeglądarkę z lokalnego systemu plików. Atakujący zdalnie może nakłonić ofiarę do uruchomienia specjalnie spreparowanego skryptu .scf, który następnie inicjuje żądania sieciowe z systemu operacyjnego do złośliwego serwera. Osoba atakująca zdalnie może uzyskać potencjalnie poufne informacje, w tym poświadczenia NTLM. |
| | |
| Numer CVE | CVE-2023-25746 |
| Krytyczność | Wysoka |
| Opis | Luka w zabezpieczeniach występuje z powodu błędu granicznego podczas przetwarzania zawartości internetowej. Osoba atakująca zdalnie może stworzyć specjalnie spreparowaną stronę internetową, nakłonić ofiarę do jej otwarcia, spowodować uszkodzenie pamięci i wykonać dowolny kod w systemie docelowym. |
| | |
| Numer CVE | CVE-2023-25745 |
| Krytyczność | Wysoka |
| Opis | Luka w zabezpieczeniach występuje z powodu błędu granicznego podczas przetwarzania zawartości internetowej. Osoba atakująca zdalnie może stworzyć specjalnie spreparowaną stronę internetową, nakłonić ofiarę do jej otwarcia, spowodować uszkodzenie pamięci i wykonać dowolny kod w systemie docelowym. |
| | |
| Numer CVE | CVE-2023-25744 |
| Krytyczność | Wysoka |
| Opis | Luka w zabezpieczeniach występuje z powodu błędu granicznego podczas przetwarzania zawartości internetowej. Osoba atakująca zdalnie może stworzyć specjalnie spreparowaną stronę internetową, nakłonić ofiarę do jej otwarcia, spowodować uszkodzenie pamięci i wykonać dowolny kod w systemie docelowym. |
| | |
| Numer CVE | CVE-2023-25742 |
| Krytyczność | Niska |
| Opis | Luka w zabezpieczeniach występuje z powodu niewystarczającej weryfikacji danych wprowadzonych przez użytkownika w Web Crypto ImportKey podczas importowania klucza publicznego SPKI RSA jako ECDSA P-256. Osoba atakująca zdalnie może nakłonić ofiarę do zaimportowania klucza publicznego i zawieszenia karty przeglądarki. |
| | |
| Numer CVE | CVE-2023-25741 |
| Krytyczność | Niska |
| Opis | Luka w zabezpieczeniach występuje z powodu ujawnienia informacji podczas przeciągania i upuszczania obrazu pochodzącego z różnych źródeł. Osoba atakująca zdalnie może uzyskać rozmiar obrazu. |
| | |
| Numer CVE | CVE-2023-25736 |
| Krytyczność | Niska |
| Opis | Luka występuje z powodu nieprawidłowego rzutowania w dół z nsHTMLDocument na nsIContent w trybie GetTableSelectionMode. Osoba atakująca zdalnie może spowodować awarię przeglądarki. |
| | |
| Numer CVE | CVE-2023-25733 |
| Krytyczność | Niska |
| Opis | Luka w zabezpieczeniach występuje z powodu błędu dereferencji wskaźnika NULL w TaskbarPreviewCallback podczas przetwarzania danych zwracanych przez gfx::SourceSurfaceSkia::Map(). Osoba atakująca zdalnie może przekazać specjalnie spreparowane dane do aplikacji i przeprowadzić atak typu „odmowa usługi” (DoS). |
| | |
| Numer CVE | CVE-2023-25731 |
| Krytyczność | Niska |
| Opis | Luka występuje z powodu podglądów adresów URL w panelu sieciowym narzędzi programistycznych, które nieprawidłowo przechowują adresy URL. Osoba atakująca zdalnie może użyć parametrów zapytania do nadpisania obiektów globalnych w uprzywilejowanym kodzie podczas renderowania URLPreview i wykonania zanieczyszczenia prototypu. |
| | |
| Numer CVE | CVE-2023-25734 |
| Krytyczność | Średnia |
| Opis | Luka występuje z powodu błędu podczas obsługi skrótów Windows .url, które są otwierane przez przeglądarkę z lokalnego systemu plików. Osoba atakująca zdalnie może nakłonić ofiarę do uruchomienia specjalnie spreparowanego skrótu, który następnie inicjuje żądania sieciowe z systemu operacyjnego do złośliwego serwera. Osoba atakująca zdalnie może uzyskać potencjalnie poufne informacje, w tym poświadczenia NTLM. |
| | |
| Numer CVE | CVE-2023-25728 |
| Krytyczność | Średnia |
| Opis | Luka istnieje, ponieważ nagłówek Content-Security-Policy-Report-Only może spowodować wyciek niezredagowanego identyfikatora URI podrzędnego elementu iframe, gdy interakcja z tym elementem iframe wyzwala przekierowanie. Osoba atakująca zdalnie może uzyskać dostęp do potencjalnie poufnych informacji. |
| | |
| Numer CVE | CVE-2023-25732 |
| Krytyczność | Wysoka |
| Opis | Luka występuje z powodu błędu granicznego w EncodeInputStream podczas kodowania danych z inputStream w xpcom. Zdalny atakujący może stworzyć specjalnie spreparowaną stronę internetową, nakłonić ofiarę do jej otwarcia, wywołać zapis i wykonać dowolny kod w systemie docelowym. |
| | |
| Numer CVE | CVE-2023-25729 |
| Krytyczność | Średnia |
| Opis | Luka istnieje z powodu braku uprawnień. Monity o otwieranie schematów zewnętrznych były wyświetlane tylko dla elementów ContentPrincipals. Złośliwe rozszerzenie może otwierać zewnętrzne schematy bez interakcji użytkownika za poŚredniactwem ExpandedPrincipals i wykonywać inne potencjalnie niebezpieczne działania, takie jak pobieranie plików lub interakcja z oprogramowaniem już zainstalowanym w systemie. |
| | |
| Numer CVE | CVE-2023-25739 |
| Krytyczność | Wysoka |
| Opis | Luka wynika z błędu użycia po zwolnieniu w mozilla::dom::ScriptLoadContext::~ScriptLoadContext(). Żądania ładowania modułów, które zakończyły się niepowodzeniem, nie były sprawdzane, czy zostały anulowane w ScriptLoadContext. Osoba atakująca zdalnie może nakłonić ofiarę do odwiedzenia specjalnie spreparowanej strony internetowej, wywołania błędu użycia po zwolnieniu i wykonania dowolnego kodu w systemie. |
| | |
| Numer CVE | CVE-2023-25737 |
| Krytyczność | Wysoka |
| Opis | Luka występuje z powodu nieprawidłowego rzutowania w dół z nsTextNode do SVGElement w SVGUtils::SetupStrokeGeometry(). Osoba atakująca zdalnie może wywołać błąd konwersji typu i potencjalnie wykonać dowolny kod. |
| | |
| Numer CVE | CVE-2023-25735 |
| Krytyczność | Wysoka |
| Opis | Luka w zabezpieczeniach występuje z powodu błędu użycia po zwolnieniu w SpiderMonkey, gdy przeszkadza w międzyprzedziałowych opakowaniach opakowujących skryptowy serwer proxy. Osoba atakująca zdalnie może wykonać dowolny kod w systemie docelowym. |
| | |
| Numer CVE | CVE-2023-0767 |
| Krytyczność | Średnia |
| Opis | Luka w zabezpieczeniach występuje z powodu błędu granicznego podczas przetwarzania atrybutów bezpiecznej torby PKCS 12. Osoba atakująca zdalnie może utworzyć specjalnie spreparowany pakiet certyfikatów PKCS 12, nakłonić ofiarę do załadowania go, wywołać zapis poza zakresem i wykonać dowolny kod w systemie docelowym. |
| | |
| Numer CVE | CVE-2023-25730 |
| Krytyczność | Średnia |
| Opis | Luka istnieje ze względu na możliwość przejęcia kontroli nad ekranem. Skrypt działający w tle, wywołujący requestFullscreen, a następnie blokujący główny wątek, może zmusić przeglądarkę do przejścia w tryb pełnoekranowy na czas nieokreślony, co może spowodować dezorientację użytkownika lub ataki typu spoofing. |
| | |
| Aktualizacja | TAK |
| Link | https://www.mozilla.org/en-US/security/advisories/mfsa2023-06/ https://www.mozilla.org/en-US/security/advisories/mfsa2023-05/ |
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny