| Produkt | Firefox ESR – wersje wcześniejsze niż 115.16 Firefox ESR – wersje wcześniejsze niż 128.3 Firefox – wersje wcześniejsze niż 131 Thunderbird – wersje wcześniejsze niż 131 Thunderbird – wersje wcześniejsze niż 128.3 |
| Numer CVE | CVE-2024-9403 |
| Krytyczność | 7.7/10 |
| CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C |
| Opis | Luka występuje z powodu błędu granicznego podczas przetwarzania zawartości HTML. Zdalny atakujący może utworzyć specjalnie spreparowaną witrynę, oszukać ofiarę, aby ją otworzyła, wywołać uszkodzenie pamięci i wykonać dowolny kod w systemie docelowym. |
| Numer CVE | CVE-2024-9395 |
| Krytyczność | 3.8/10 |
| CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N/E:U/RL:O/RC:C |
| Opis | Luka występuje z powodu nieprawidłowego przetwarzania nazw plików. Specjalnie spreparowana nazwa pliku zawierająca dużą liczbę spacji może ukryć rozszerzenie pliku wyświetlane w oknie dialogowym pobierania. |
| Numer CVE | CVE-2024-9391 |
| Krytyczność | 4,7/10 |
| CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N/E:U/RL:O/RC:C |
| Opis | Luka występuje z powodu błędu podczas wychodzenia z trybu pełnoekranowego. Użytkownik, który włącza tryb pełnoekranowy na specjalnie przygotowanej stronie internetowej, może potencjalnie nie mieć możliwości wyjścia z trybu pełnoekranowego. Może to umożliwić podszywanie się pod inne witryny, ponieważ pasek adresu nie jest już widoczny. |
| Numer CVE | CVE-2024-9402 |
| Krytyczność | 7,7/10 |
| CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C |
| Opis | Luka występuje z powodu błędu granicznego podczas przetwarzania zawartości HTML. Zdalny atakujący może utworzyć specjalnie przygotowaną witrynę, oszukać ofiarę, aby ją otworzyła, wywołać uszkodzenie pamięci i wykonać dowolny kod w systemie docelowym. |
| Numer CVE | CVE-2024-9400 |
| Krytyczność | 3.8/10 |
| CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L/E:U/RL:O/RC:C |
| Opis | Luka występuje, ponieważ aplikacja nie kontroluje prawidłowo zużycia zasobów wewnętrznych podczas kompilacji JIT. Zdalny atakujący może spowodować awarię przeglądarki. |
| Numer CVE | CVE-2024-9399 |
| Krytyczność | 3.8/10 |
| CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L/E:U/RL:O/RC:C |
| Opis | Luka występuje, ponieważ niewystarczająca jest walidacja danych wejściowych użytkownika podczas obsługi WebTransport. Zdalny atakujący może oszukać ofiarę, aby odwiedziła specjalnie spreparowaną witrynę i spowodować awarię przeglądarki. |
| Numer CVE | CVE-2024-9397 |
| Krytyczność | 3.7/10 |
| CVSS | AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:N/E:U/RL:O/RC:C |
| Opis | Luka występuje z powodu braku opóźnienia w interfejsie użytkownika przesyłania katalogów. Zdalny atakujący może oszukać użytkownika, aby udzielił pozwolenia za pomocą clickjackingu. |
| Numer CVE | CVE-2024-9396 |
| Krytyczność | 4.7/10 |
| CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N/E:U/RL:O/RC:C |
| Opis | Luka występuje z powodu błędu granicznego podczas klonowania niektórych obiektów. Zdalny atakujący może utworzyć specjalnie spreparowaną witrynę, oszukać ofiarę, aby ją otworzyła, wywołać uszkodzenie pamięci i wykonać dowolny kod w systemie docelowym. |
| Numer CVE | CVE-2024-8900 |
| Krytyczność | 4.7/10 |
| CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N/E:U/RL:O/RC:C |
| Opis | Luka występuje, ponieważ aplikacja nie nakłada prawidłowo ograniczeń bezpieczeństwa. Zdalny atakujący może zapisać dane w schowku użytkownika, omijając monit użytkownika, podczas określonej sekwencji zdarzeń nawigacyjnych. |
| Numer CVE | CVE-2024-9401 |
| Krytyczność | 7.7/10 |
| CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C |
| Opis | Luka występuje, ponieważ występuje błąd graniczny podczas przetwarzania zawartości HTML. Zdalny atakujący może utworzyć specjalnie spreparowaną witrynę, oszukać ofiarę, aby ją odwiedziła, wywołać uszkodzenie pamięci i wykonać dowolny kod w systemie docelowym. |
| Numer CVE | CVE-2024-9394 |
| Krytyczność | 4.7/10 |
| CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N/E:U/RL:O/RC:C |
| Opis | Luka występuje, ponieważ aplikacja nie nakłada prawidłowo ograniczeń bezpieczeństwa. Zdalny atakujący może wysłać specjalnie spreparowaną odpowiedź wieloczęściową i wykonać dowolny kod JavaScript w źródle resource://devtools. Może to umożliwić mu dostęp do treści JSON między domenami. |
| Numer CVE | CVE-2024-9393 |
| Krytyczność | 4.7/10 |
| CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N/E:U/RL:O/RC:C |
| Opis | Luka występuje, ponieważ aplikacja nie nakłada prawidłowo ograniczeń bezpieczeństwa. Zdalny atakujący może użyć specjalnie spreparowanej odpowiedzi wieloczęściowej, aby wykonać dowolny kod JavaScript w źródle resource://pdf.js i uzyskać dostęp do treści PDF między domenami. |
| Numer CVE | CVE-2024-9392 |
| Krytyczność | 4,7/10 |
| CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N/E:U/RL:O/RC:C |
| Opis | Luka występuje z powodu nieokreślonego błędu. Zagrożony proces treści wykonuje dowolne ładowanie stron międzydomenowych. |
| Numer CVE | CVE-2024-9398 |
| Krytyczność | 2,7/10 |
| CVSS | AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N/E:U/RL:O/RC:C |
| Opis | Luka występuje z powodu możliwości enumeracji obsługi protokołów za pomocą wywołania window.open(). Zdalny atakujący może enumerować zainstalowane aplikacje w systemie. |
| Aktualizacja | TAK |
| Link | Mozilla Security Advisory (MFSA 2024-50) Mozilla Security Advisory (MFSA 2024-49) Mozilla Security Advisory (MFSA 2024-48) Mozilla Security Advisory (MFSA 2024-47) Mozilla Security Advisory (MFSA 2024-46) |
Mozilla publikuje nowe aktualizacje zabezpieczeń dla swoich produktów. (P24-320)
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny