Mozilla publikuje nowe aktualizacje zabezpieczeń dla swoich produktów. (P24-262)

utworzone przez | sie 9, 2024 | Aktualizacje

ProduktFirefox ESR – wersje wcześniejsze niż 115.14
Firefox ESR – wersje wcześniejsze niż 128.1
Firefox – wersje wcześniejsze niż 129
Thunderbird – wersje wcześniejsze niż 115.14
Thunderbird – wersje wcześniejsze niż 128.1
Numer CVECVE-2024-7518
Krytyczność4.7/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N/E:U/RL:O/RC:C
OpisLuka występuje z powodu nieprawidłowej interpretacji danych wejściowych w interfejsie użytkownika podczas obsługi opcji wyboru. Zdalny atakujący może zasłonić pełnoekranowe okno dialogowe powiadomień zawartością dokumentu i wykonać atak typu spoofing.
  
Numer CVECVE-2024-7519
Krytyczność7.1/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N/E:U/RL:O/RC:C
OpisLuka występuje z powodu błędu granicznego podczas przetwarzania współdzielonej pamięci graficznej. Zdalny atakujący może utworzyć specjalnie spreparowaną witrynę internetową, oszukać ofiarę, aby ją otworzyła, uruchomić odczyt poza zakresem i ominąć piaskownicę przeglądarki.
  
Numer CVECVE-2024-7520
Krytyczność7.7/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
OpisLuka występuje z powodu błędu pomyłki typu w WebAssembly. Zdalny atakujący może oszukać ofiarę, aby odwiedziła specjalnie spreparowaną stronę internetową, wywołała błąd pomyłki typu i wykonała dowolny kod w systemie docelowym.
  
Numer CVECVE-2024-7521
Krytyczność7.7/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
OpisLuka występuje z powodu błędu użycia po zwolnieniu w WebAssembly. Zdalny atakujący może oszukać ofiarę, aby odwiedziła specjalnie spreparowaną stronę internetową, wywołała błąd użycia po zwolnieniu i wykonała dowolny kod w systemie.
  
Numer CVECVE-2024-7522
Krytyczność7.1/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N/E:U/RL:O/RC:C
OpisLuka istnieje z powodu nieprawidłowej implementacji w wersji V8 w przeglądarce Google Chrome. Zdalny atakujący może utworzyć specjalnie spreparowaną stronę internetową, oszukać ofiarę i nakłonić ją do odwiedzenia jej i naruszyć bezpieczeństwo systemu.
  
Numer CVECVE-2024-7530
Krytyczność3.8/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L/E:U/RL:O/RC:C
OpisLuka występuje z powodu błędu użycia po zwolnieniu w zbiorze pokrycia kodu JavaScript. Zdalny atakujący może oszukać ofiarę, aby odwiedziła specjalnie spreparowaną witrynę, wywołać błąd użycia po zwolnieniu i spowodować awarię przeglądarki.
  
Numer CVECVE-2024-7525
Krytyczność4.7/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N/E:U/RL:O/RC:C
OpisLuka występuje z powodu braku kontroli uprawnień podczas tworzenia StreamFilter. Rozszerzenie sieciowe z minimalnymi uprawnieniami może utworzyć StreamFilter, który może być używany do odczytywania i modyfikowania treści odpowiedzi żądań w dowolnej witrynie.
  
Numer CVECVE-2024-7523
Krytyczność4.7/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N/E:U/RL:O/RC:C
OpisLuka występuje z powodu błędu podczas obsługi opcji wyboru, co może powodować zaciemnienie monitów bezpieczeństwa. Zdalny atakujący może oszukać ofiarę, aby udzieliła uprawnień.
  
Numer CVECVE-2024-7531
Krytyczność3.8/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N/E:U/RL:O/RC:C
OpisWywołanie PK11_Encrypt() w NSS przy użyciu CKM_CHACHA20 i tego samego bufora dla wejścia i wyjścia może skutkować tekstem jawnym na procesorze Intel Sandy Bridge. W przeglądarce Firefox dotyczy to tylko funkcji ochrony nagłówka QUIC, gdy połączenie używa zestawu szyfrów ChaCha20-Poly1305. Najbardziej prawdopodobnym wynikiem jest awaria połączenia, ale jeśli połączenie utrzymuje się pomimo dużej utraty pakietów, obserwator sieci może zidentyfikować pakiety jako pochodzące z tego samego źródła pomimo zmiany ścieżki sieciowej.
  
Numer CVECVE-2024-7529
Krytyczność4.7/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N/E:U/RL:O/RC:C
OpisLuka występuje z powodu nieprawidłowego użycia selektora daty, co może powodować zaciemnienie monitów bezpieczeństwa. Zdalny atakujący używa złośliwej witryny, aby oszukać ofiarę i uzyskać uprawnienia.
  
Numer CVECVE-2024-7528
Krytyczność7.7/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L/E:U/RL:O/RC:C
OpisLuka występuje z powodu błędu użycia po zwolnieniu w IndexedDB. Zdalny atakujący może oszukać ofiarę i zmusić ją do odwiedzenia specjalnie spreparowanej witryny, wywołać błąd użycia po zwolnieniu i wykonać dowolny kod w systemie.
  
Numer CVECVE-2024-7526
Krytyczność5.7/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N/E:U/RL:O/RC:C
OpisLuka występuje z powodu użycia niezainicjowanych zasobów w WebGL ANGLE. Zdalny atakujący może oszukać ofiarę, aby odwiedziła specjalnie spreparowaną witrynę i uzyskała dostęp do poufnych informacji.
  
Numer CVECVE-2024-7527
Krytyczność7.7/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
OpisLuka występuje z powodu błędu użycia po zwolnieniu w zbieraniu śmieci JavaScript. Zdalny atakujący może oszukać ofiarę, aby odwiedziła specjalnie spreparowaną witrynę, wywołać błąd użycia po zwolnieniu i wykonać dowolny kod w systemie.
  
Numer CVECVE-2024-7524
Krytyczność5.3/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
OpisFirefox dodaje shimy zapewniające zgodność z siecią zamiast niektórych skryptów śledzących blokowanych przez Enhanced Tracking Protection. Na stronie chronionej przez Content Security Policy w trybie „strict-dynamic” atakujący, który jest w stanie wstrzyknąć element HTML, mógłby użyć ataku DOM Clobbering na niektórych shimach i osiągnąć XSS, omijając ochronę CSP strict-dynamic.
  
AktualizacjaTAK
Linkhttps://www.mozilla.org/en-US/security/advisories/mfsa2024-33/ https://www.mozilla.org/en-US/security/advisories/mfsa2024-34/ https://www.mozilla.org/en-US/security/advisories/mfsa2024-35/