Mozilla publikuje nowe aktualizacje zabezpieczeń dla swoich produktów. (P23-297)

utworzone przez | paź 25, 2023 | Aktualizacje

ProduktMozilla Firefox: 100.0 – 118.0.2
Firefox ESR: 102.0 – 115.3.1
Firefox for Android: 100.1.0 – 118.2.0
Mozilla Thunderbird: 102.0 – 115.3.3*
Numer CVECVE-2023-5721*
KrytycznośćŚrednia
OpisLuka wynika z nieprawidłowego przetwarzania renderowania w kolejce. Osoba atakująca zdalnie może przeprowadzić atak polegający na fałszowaniu, aktywując lub odrzucając określone monity i okna dialogowe przeglądarki.
  
Numer CVECVE-2023-5722
KrytycznośćNiska
OpisLuka umożliwia zdalnemu atakującemu uzyskanie dostępu do potencjalnie wrażliwych informacji. Luka wynika z rozmiaru różnych źródeł i wycieku nagłówka. Osoba atakująca zdalnie może poznać rozmiar nieprzejrzystej odpowiedzi za pomocą żądań iteracyjnych.
  
Numer CVECVE-2023-5723
KrytycznośćNiska
OpisLuka wynika z niedostatecznej weryfikacji danych wprowadzonych przez użytkownika podczas obsługi nieprawidłowych znaków plików cookie. Osoba atakująca zdalnie może przekazać specjalnie spreparowane dane wejściowe do aplikacji i przeprowadzić atak typu „odmowa usługi” (DoS).
  
Numer CVECVE-2023-5724*
KrytycznośćNiska
OpisLuka wynika z niewłaściwego zarządzania zasobami wewnętrznymi w WebGL. Osoba atakująca zdalnie może oszukać ofiarę, aby otworzyła specjalnie spreparowaną witrynę internetową i przeprowadziła atak typu „odmowa usługi” (DoS).
  
Numer CVECVE-2023-5725*
KrytycznośćNiska
OpisLuka wynika z nieprawidłowo nałożonych ograniczeń bezpieczeństwa w programie WebExtension, które mogą otwierać dowolne adresy URL. Złośliwe rozszerzenie może zbierać wrażliwe dane użytkownika.
  
Numer CVECVE-2023-5726*
KrytycznośćNiska
OpisLuka wynika z nieprawidłowego przetwarzania danych dostarczonych przez użytkownika podczas obsługi powiadomień pełnoekranowych w oknie dialogowym otwierania pliku. Osoba atakująca zdalnie może przeprowadzić atak polegający na fałszowaniu.
  
Numer CVECVE-2023-5727*
KrytycznośćŚrednia
OpisLuka wynika z ostrzeżenia o braku pliku wykonywalnego podczas pobierania plików .msix, .msixbundle, .appx i .appxbundle. Osoba atakująca zdalnie może nakłonić ofiarę do wykonania plików i złamać zagrożony system.
  
Numer CVECVE-2023-5728*
KrytycznośćWysoka
OpisLuka wynika z nieprawidłowego śledzenia obiektów podczas zbierania elementów bezużytecznych. Osoba atakująca zdalnie może stworzyć specjalnie spreparowaną witrynę internetową, nakłonić ofiarę do jej otwarcia, wywołać uszkodzenie pamięci i wykonać dowolny kod w systemie docelowym.
  
Numer CVECVE-2023-5729
KrytycznośćNiska
OpisLuka wynika z nieprawidłowego przetwarzania danych dostarczonych przez użytkownika. Złośliwa witryna internetowa może przejść do trybu pełnoekranowego, jednocześnie wywołując monit WebAuthn. Mogło to zasłonić powiadomienie na pełnym ekranie i zostać wykorzystane w ataku polegającym na fałszowaniu.
  
Numer CVECVE-2023-5730*
KrytycznośćWysoka
OpisLuka wynika z błędu granicznego podczas przetwarzania treści HTML. Osoba atakująca zdalnie może stworzyć specjalnie spreparowaną witrynę internetową, nakłonić ofiarę do jej otwarcia, wywołać uszkodzenie pamięci i wykonać dowolny kod w systemie docelowym.
  
Numer CVECVE-2023-5731
KrytycznośćWysoka
OpisLuka wynika z błędu granicznego podczas przetwarzania treści HTML. Osoba atakująca zdalnie może stworzyć specjalnie spreparowaną witrynę internetową, nakłonić ofiarę do jej otwarcia, wywołać uszkodzenie pamięci i wykonać dowolny kod w systemie docelowym.
  
Numer CVECVE-2023-5732
KrytycznośćŚrednia
OpisLuka wynika z nieprawidłowego przetwarzania danych dostarczonych przez użytkownika podczas obsługi znaków dwukierunkowych. Osoba atakująca zdalnie może sfałszować pasek adresu przeglądarki.
  
AktualizacjaTAK
Linkhttps://www.mozilla.org/en-US/security/advisories/mfsa2023-45/ https://www.mozilla.org/en-US/security/advisories/mfsa2023-46/ http://www.mozilla.org/en-US/security/advisories/mfsa2023-47/