| Produkt | Firefox – wersje wcześniejsze niż 115
Firefox ESR – wersje wcześniejsze niż 102.13 |
| Numer CVE | CVE-2023-37201 |
| Krytyczność | Wysoka |
| Opis | Luka występuje z powodu błędu użycia po zwolnieniu w WebRTC. Osoba atakująca zdalnie może nakłonić ofiarę do odwiedzenia specjalnie spreparowanej witryny internetowej, wywołania błędu użycia po zwolnieniu i wykonania dowolnego kodu w systemie. |
| | |
| Numer CVE | CVE-2023-37202 |
| Krytyczność | Wysoka |
| Opis | Luka w zabezpieczeniach występuje z powodu błędu użycia po zwolnieniu w opakowaniach międzyprzedziałowych. Osoba atakująca zdalnie może nakłonić ofiarę do otwarcia specjalnie spreparowanej witryny internetowej, wywołania błędu użycia po zwolnieniu i wykonania dowolnego kodu w systemie. |
| | |
| Numer CVE | CVE-2023-37207 |
| Krytyczność | Średnia |
| Opis | Luka wynika ze sposobu obsługi powiadomień pełnoekranowych w przeglądarce. Atakujący zdalnie może nakłonić ofiarę do odwiedzenia specjalnie spreparowanej witryny internetowej, która może zasłaniać pełnoekranowe powiadomienie, używając adresu URL ze schematem obsługiwanym przez program zewnętrzny, takiego jak adres URL poczty, i przeprowadzić atak polegający na fałszowaniu. |
| | |
| Numer CVE | CVE-2023-37208 |
| Krytyczność | Średnia |
| Opis | Luka istnieje z powodu braku ostrzeżenia podczas otwierania plików Diagcab. Atakujący zdalnie może nakłonić ofiarę do pobrania złośliwego pliku Diagcab i skompromitować system, którego dotyczy problem. |
| | |
| Numer CVE | CVE-2023-37211 |
| Krytyczność | Średnia |
| Opis | Luka w zabezpieczeniach występuje z powodu błędu granicznego podczas przetwarzania zawartości HTML. Osoba atakująca zdalnie może oszukać ofiarę, aby otworzyła specjalnie spreparowaną stronę internetową, spowodowała uszkodzenie pamięci i wykonała dowolny kod w systemie docelowym. |
| | |
| Numer CVE | CVE-2023-3482 |
| Krytyczność | Średnia |
| Opis | Luka w zabezpieczeniach występuje z powodu błędu, gdy Firefox jest skonfigurowany do blokowania przechowywania wszystkich plików cookie. Nadal możliwe jest przechowywanie danych w pamięci lokalnej przy użyciu elementu iframe ze źródłem „about:blank”. Osoba atakująca zdalnie może wykorzystać takie zachowanie do przechowywania danych śledzenia bez zgody ofiary. |
| | |
| Numer CVE | CVE-2023-37203 |
| Krytyczność | Średnia |
| Opis | Luka występuje z powodu niewystarczającej weryfikacji w interfejsie API Drag and Drop. Atakujący zdalnie nakłania ofiarę do utworzenia skrótu do lokalnych plików systemowych i wykorzystuje zachowanie interfejsu API przeciągania i upuszczania w celu wykonania dowolnego kodu. |
| | |
| Numer CVE | CVE-2023-37204 |
| Krytyczność | Średnia |
| Opis | Luka wynika ze sposobu obsługi powiadomień pełnoekranowych w przeglądarce. Atakujący zdalnie może ukryć powiadomienie pełnoekranowe za pomocą elementu opcji, wprowadzając opóźnienie za pomocą kosztownej funkcji obliczeniowej i przeprowadzając atak polegający na fałszowaniu. |
| | |
| Numer CVE | CVE-2023-37205 |
| Krytyczność | Średnia |
| Opis | Luka wynika z nieprawidłowego przetwarzania danych dostarczonych przez użytkownika podczas przetwarzania arabskich znaków RTL w pasku adresu. Osoba atakująca zdalnie może sfałszować adres URL w pasku adresu. |
| | |
| Numer CVE | CVE-2023-37206 |
| Krytyczność | Niska |
| Opis | Luka występuje z powodu problemu z dowiązaniem symbolicznym w interfejsie API systemu plików. Osoba atakująca zdalnie może nakłonić ofiarę do przesłania pliku zawierającego dowiązanie symboliczne do krytycznego pliku i uzyskania dostępu do potencjalnie poufnych informacji. |
| | |
| Numer CVE | CVE-2023-37209 |
| Krytyczność | Wysoka |
| Opis | Luka występuje z powodu błędu użycia po zwolnieniu w NotifyOnHistoryReload. Osoba atakująca zdalnie może nakłonić ofiarę do odwiedzenia specjalnie spreparowanej witryny internetowej, wywołania błędu użycia po zwolnieniu i wykonania dowolnego kodu w systemie. |
| | |
| Numer CVE | CVE-2023-37210 |
| Krytyczność | Niska |
| Opis | Luka wynika ze sposobu działania przeglądarki w trybie pełnoekranowym. Zdalny atakujący może uniemożliwić użytkownikowi wyjście z trybu pełnoekranowego za pomocą alertów i monitów oraz przeprowadzić atak polegający na fałszowaniu. |
| | |
| Numer CVE | CVE-2023-37212 |
| Krytyczność | Wysoka |
| Opis | Luka w zabezpieczeniach występuje z powodu błędu granicznego podczas przetwarzania zawartości HTML. Osoba atakująca zdalnie może nakłonić ofiarę do odwiedzenia złośliwej witryny internetowej, uszkodzenia pamięci i wykonania dowolnego kodu w systemie docelowym. |
| | |
| Aktualizacja | TAK |
| Link | https://www.mozilla.org/en-US/security/advisories/mfsa2023-22/ https://www.mozilla.org/en-US/security/advisories/mfsa2023-23/ |
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny