Produkt | Firefox < 80 Firefox ESR < 78.2 Firefox ESR < 68.12 Thunderbird < 68.12 |
Numer CVE | CVE-2020-15663 |
Krytyczność | 6.8/10 |
Opis | Luka umożliwia lokalnemu użytkownikowi zwiększenie uprawnień w systemie. Usługa konserwacji Mozilla nie sprawdza, czy plik updater.exe ma prawidłowy podpis przed wykonaniem go z podwyższonymi uprawnieniami. Użytkownik lokalny z możliwością zastąpienia pliku updater.exe może wykonać dowolny kod z uprawnieniami SYSTEM. |
Numer CVE | CVE-2020-15664 |
Krytyczność | 6.5/10 |
Opis | Luka umożliwia zdalnej osobie atakującej obejście pewnych ograniczeń bezpieczeństwa. Luka wynika ze sposobu, w jaki Firefox obsługuje monity. Trzymając odwołanie do funkcji eval () z okna about: blank, złośliwa strona internetowa mogłaby uzyskać dostęp do obiektu InstallTrigger, który pozwoliłby jej poprosić użytkownika o zainstalowanie rozszerzenia. W połączeniu z dezorientacją użytkownika może to spowodować zainstalowanie niezamierzonego lub złośliwego rozszerzenia. |
link | https://www.mozilla.org/en-US/security/advisories/mfsa2020-38/ |
Produkt | Firefox ESR < 78.2 Thunderbird < 78.2 |
Numer CVE | CVE-2020-15670 |
Krytyczność | 7.7/10 |
Opis | Luka umożliwia zdalnej osobie atakującej wykonanie dowolnego kodu w systemie docelowym. Istnieje z powodu błędu granicznego podczas przetwarzania treści HTML. Osoba atakująca zdalnie może utworzyć specjalnie spreparowaną stronę internetową, nakłonić ofiarę do jej otwarcia, wywołać uszkodzenie pamięci i wykonać dowolny kod w systemie docelowym. Pomyślne wykorzystanie tej luki może spowodować całkowite złamanie zabezpieczeń podatnego na ataki systemu. |
Link | https://www.mozilla.org/en-US/security/advisories/mfsa2020-38/ |
Produkt | Firefox ESR < 68.12 Thunderbird < 68.12 |
Numer CVE | CVE-2020-15669 |
Krytyczność | 7.7/10 |
Opis | Luka umożliwia zdalnemu atakującemu złamanie zabezpieczeń systemu podatnego na atak.Luka istnieje z powodu błędu użycia po zwolnieniu podczas przerywania operacji w przeglądarce. Osoba atakująca zdalnie może stworzyć specjalnie spreparowaną stronę internetową, nakłonić ofiarę do odwiedzenia jej, wywołać błąd „użyj po zwolnieniu” i wykonać dowolny kod w systemie.Pomyślne wykorzystanie tej luki może pozwolić osobie atakującej na złamanie zabezpieczeń systemu, którego dotyczy luka. |
Link | https://www.mozilla.org/en-US/security/advisories/mfsa2020-37/ |