Mozilla publikuje nowe aktualizacje zabezpieczeń dla swoich produktów. (P24-282)

utworzone przez | wrz 4, 2024 | Aktualizacje

ProduktFirefox ESR – wersje wcześniejsze niż 115.15
Firefox ESR – wersje wcześniejsze niż 128.2
Firefox – wersje wcześniejsze niż 130
Numer CVECVE-2024-8385
Krytyczność7.7/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
OpisLuka występuje z powodu błędu pomyłki typu podczas obsługi obiektów StructFields i ArrayTypes w WASM. Zdalny atakujący może oszukać ofiarę, aby odwiedziła specjalnie spreparowaną witrynę, wywołać błąd pomyłki typu i wykonać dowolny kod w systemie docelowym.
  
Numer CVECVE-2024-8381
Krytyczność7.7/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
OpisLuka występuje z powodu błędu pomyłki typu podczas wyszukiwania nazwy właściwości w bloku „with”. Zdalny atakujący może oszukać ofiarę, aby odwiedziła specjalnie spreparowaną witrynę, wywołać błąd pomyłki typu i wykonać dowolny kod w systemie docelowym.
  
Numer CVECVE-2024-8388
Krytyczność3.8/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N/E:U/RL:O/RC:C
OpisLuka istnieje, ponieważ wiele monitów i paneli zarówno z Firefoksa, jak i systemu Android może zostać wykorzystanych do ukrycia powiadomienia zapowiadającego przejście do trybu pełnoekranowego. Zdalny atakujący może przeprowadzić atak typu spoofing.
  
Numer CVECVE-2024-8382
Krytyczność3.8/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N/E:U/RL:O/RC:C
OpisLuka istnieje, ponieważ wewnętrzne interfejsy zdarzeń przeglądarki są narażone na zawartość internetową, gdy dla tych zdarzeń uruchomiono uprzywilejowane wywołania zwrotne nasłuchu EventHandler. Zdalny atakujący może wskazać użycie niektórych funkcji przeglądarki, na przykład gdy użytkownik otwiera konsolę Dev Tools.
  
Numer CVECVE-2024-8383
Krytyczność6.5/10
CVSSAV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
OpisLuka występuje z powodu brakującego okna dialogowego potwierdzenia podczas otwierania schematów Usenet „news:” i „snews:”. Zdalny atakujący może oszukać ofiarę, aby pobrała złośliwą aplikację, którą można uruchomić bez żadnych dodatkowych monitów.
  
Numer CVECVE-2024-8384
Krytyczność7.7/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
OpisLuka występuje z powodu błędu granicznego w module zbierającym śmieci JavaScript podczas zawartości HTML. Zdalny atakujący może oszukać ofiarę, aby odwiedziła specjalnie spreparowaną witrynę, wywołać uszkodzenie pamięci i wykonać dowolny kod w systemie docelowym.
  
Numer CVECVE-2024-8389
Krytyczność7.7/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
OpisLuka występuje z powodu błędu granicznego podczas przetwarzania treści HTML. Zdalny atakujący może utworzyć specjalnie przygotowaną stronę internetową, oszukać ofiarę, aby ją otworzyła, wywołać uszkodzenie pamięci i wykonać dowolny kod w systemie docelowym.
  
Numer CVECVE-2024-8387
Krytyczność7.7/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
OpisLuka występuje z powodu błędu granicznego podczas przetwarzania treści HTML. Zdalny atakujący może utworzyć specjalnie przygotowaną stronę internetową, oszukać ofiarę, aby ją otworzyła, wywołać uszkodzenie pamięci i wykonać dowolny kod w systemie docelowym.
  
Numer CVECVE-2024-8386
Krytyczność3.8/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N/E:U/RL:O/RC:C]
OpisLuka występuje z powodu błędu podczas wyświetlania okna popup SelectElements, jeśli witryna otrzymała pozwolenie na otwieranie okien popup. Zdalny atakujący może przeprowadzić atak typu spoofing.
  
AktualizacjaTAK
Linkhttp://www.mozilla.org/en-US/security/advisories/mfsa2024-39/
http://www.mozilla.org/en-US/security/advisories/mfsa2024-40/
http://www.mozilla.org/en-US/security/advisories/mfsa2024-41/