| Produkt | Mozilla Firefox: 100.0 – 120.0.1 Firefox ESR: 102.0 – 115.5.0 Firefox for Android: 66.0.4 – 120.1.1 |
| Numer CVE | CVE-2023-6856 |
| Krytyczność | 7,7/10 |
| CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C |
| Opis | Luka wynika z błędu granicznego w metodzie WebGL DrawElementsInstanced używanej w systemach ze sterownikiem Mesa VM. Osoba atakująca zdalnie może nakłonić ofiarę do odwiedzenia specjalnie spreparowanej witryny internetowej, wywołać przepełnienie bufora sterty i wykonać dowolny kod w systemie docelowym. |
| Numer CVE | |
| Krytyczność | CVE-2023-6865 |
| CVSS | 6,5/10 |
| Opis | AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C |
| Numer CVE | Luka wynika z dostępu do niezainicjowanych danych w EncryptingOutputStream. Osoba atakująca zdalnie może nakłonić ofiarę do odwiedzenia specjalnie spreparowanej witryny internetowej, spowodować uszkodzenie pamięci i zapisać dane na dysku lokalnym, co może mieć wpływ na tryb przeglądania prywatnego. |
| Krytyczność | |
| CVSS | CVE-2023-6858 |
| Opis | 3,8/10 |
| Numer CVE | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L/E:U/RL:O/RC:C |
| Krytyczność | Luka wynika z błędu granicznego w nsTextFragment podczas obsługi sytuacji związanych z brakiem pamięci. Osoba atakująca zdalnie może nakłonić ofiarę do odwiedzenia specjalnie spreparowanej witryny internetowej, spowodować przepełnienie sterty i spowodować awarię przeglądarki. |
| CVSS | |
| Opis | CVE-2023-6859 |
| Numer CVE | 3,8/10 |
| Krytyczność | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L/E:U/RL:O/RC:C |
| CVSS | Luka wynika z błędu użycia po zwolnieniu w PR_GetIdentitiesLayer podczas tworzenia gniazda TLS. Osoba atakująca zdalnie może oszukać ofiarę, aby odwiedziła specjalnie spreparowaną witrynę internetową i spowodowała awarię przeglądarki. |
| Opis | |
| Numer CVE | CVE-2023-6860 |
| Krytyczność | 4,7/10 |
| CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N/E:U/RL:O/RC:C |
| Opis | Luka wynika z braku weryfikacji tekstur w programie VideoBridge. Osoba atakująca zdalnie może oszukać ofiarę, aby otworzyła specjalnie spreparowaną witrynę internetową, opuściła piaskownicę i uzyskała dostęp do poufnych informacji. |
| Numer CVE | |
| Krytyczność | CVE-2023-6867 |
| CVSS | 4,1/10 |
| Opis | AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:L/A:N/E:U/RL:O/RC:C |
| Numer CVE | Luka wynika z problemu z synchronizacją kliknięcia przycisku przez użytkownika. Czas kliknięcia przycisku powodującego zniknięcie wyskakującego okienka był w przybliżeniu taki sam, jak opóźnienie zapobiegające przechwytywaniu kliknięć w monitach o pozwolenie. Osoba atakująca zdalnie może przeprowadzić atak typu clickjacking. |
| Krytyczność | |
| CVSS | CVE-2023-6862 |
| Opis | 3,8/10 |
| Numer CVE | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L/E:U/RL:O/RC:C |
| Krytyczność | Luka wynika z błędu użycia po zwolnieniu w nsDNSService::Init podczas uruchamiania przeglądarki. Zdalny atakujący mający kontrolę nad serwerem DNS może spowodować awarię przeglądarki. |
| CVSS | |
| Opis | CVE-2023-6863 |
| Numer CVE | 3,8/10 |
| Krytyczność | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L/E:U/RL:O/RC:C |
| CVSS | Luka wynika z polegania na niezdefiniowanym zachowaniu funkcji ShutdownObserver(). Osoba atakująca zdalnie może spowodować awarię przeglądarki. |
| Opis | |
| Numer CVE | CVE-2023-6864 |
| Krytyczność | 7,7/10 |
| CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C |
| Opis | Luka wynika z błędu granicznego podczas przetwarzania treści HTML. Osoba atakująca zdalnie może stworzyć specjalnie spreparowaną witrynę internetową, nakłonić ofiarę do jej otwarcia, wywołać uszkodzenie pamięci i wykonać dowolny kod w systemie docelowym. |
| Numer CVE | |
| Krytyczność | CVE-2023-6871 |
| CVSS | 3,8/10 |
| Opis | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L/E:U/RL:O/RC:C |
| Numer CVE | Luka wynika z braku ostrzeżenia dotyczącego procedury obsługi protokołu podczas przechodzenia do nowej procedury obsługi protokołu. Osoba atakująca zdalnie może przeprowadzić atak polegający na fałszowaniu. |
| Krytyczność | |
| CVSS | CVE-2023-6870 |
| Opis | 3,8/10 |
| Numer CVE | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L/E:U/RL:O/RC:C |
| Krytyczność | Luka wynika z błędu podczas obsługi powiadomień Toast. Aplikacje, które wyświetlają powiadomienie Toast w wątku w tle, mogą przesłaniać powiadomienia pełnoekranowe wyświetlane przez przeglądarkę. |
| CVSS | |
| Opis | CVE-2023-6868 |
| Numer CVE | 3,7/10 |
| Krytyczność | AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:N/E:U/RL:O/RC:C |
| CVSS | Luka wynika z niewłaściwych ograniczeń dostępu. klient użytkownika zezwalałby na żądania wypychane, które nie miały prawidłowego identyfikatora VAPID, mimo że subskrypcja menedżera wypychania go zdefiniowała. Może to pozwolić na wysyłanie pustych wiadomości od nieupoważnionych stron. |
| Opis | |
| Numer CVE | CVE-2023-6135 |
| Krytyczność | 4,7/10 |
| CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N/E:U/RL:O/RC:C |
| Opis | Luka wynika z ataku typu side-channel na wiele krzywych NSS NIST, znanego jako „Minerva”. Osoba atakująca zdalnie może odzyskać klucz prywatny i odszyfrować dane przesyłane między serwerem a klientem. |
| Numer CVE | |
| Krytyczność | CVE-2023-6873 |
| CVSS | 7,7/10 |
| Opis | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C |
| Numer CVE | Luka wynika z błędu granicznego podczas przetwarzania treści HTML. Osoba atakująca zdalnie może stworzyć specjalnie spreparowaną witrynę internetową, nakłonić ofiarę do jej otwarcia, wywołać uszkodzenie pamięci i wykonać dowolny kod w systemie docelowym. |
| Aktualizacja | TAK |
| Link | https://www.mozilla.org/en-US/security/advisories/mfsa2023-56/ https://www.mozilla.org/en-US/security/advisories/mfsa2023-54/ |
Mozilla publikuje nowe aktualizacje zabezpieczeń dla swoich produktów. (P23-376)
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny