Mozilla publikuje nowe aktualizacje zabezpieczeń dla swoich produktów.

utworzone przez | sie 26, 2020 | Aktualizacje

ProduktFirefox < 80
Firefox ESR < 78.2
Firefox ESR < 68.12
Thunderbird < 68.12
Numer CVECVE-2020-15663
Krytyczność6.8/10
OpisLuka umożliwia lokalnemu użytkownikowi zwiększenie uprawnień w systemie. Usługa konserwacji Mozilla nie sprawdza, czy plik updater.exe ma prawidłowy podpis przed wykonaniem go z podwyższonymi uprawnieniami. Użytkownik lokalny z możliwością zastąpienia pliku updater.exe może wykonać dowolny kod z uprawnieniami SYSTEM.
  
Numer CVECVE-2020-15664
Krytyczność6.5/10
OpisLuka umożliwia zdalnej osobie atakującej obejście pewnych ograniczeń bezpieczeństwa. Luka wynika ze sposobu, w jaki Firefox obsługuje monity. Trzymając odwołanie do funkcji eval () z okna about: blank, złośliwa strona internetowa mogłaby uzyskać dostęp do obiektu InstallTrigger, który pozwoliłby jej poprosić użytkownika o zainstalowanie rozszerzenia. W połączeniu z dezorientacją użytkownika może to spowodować zainstalowanie niezamierzonego lub złośliwego rozszerzenia.
linkhttps://www.mozilla.org/en-US/security/advisories/mfsa2020-38/
ProduktFirefox ESR < 78.2
Thunderbird < 78.2
Numer CVECVE-2020-15670
Krytyczność7.7/10
OpisLuka umożliwia zdalnej osobie atakującej wykonanie dowolnego kodu w systemie docelowym. Istnieje z powodu błędu granicznego podczas przetwarzania treści HTML. Osoba atakująca zdalnie może utworzyć specjalnie spreparowaną stronę internetową, nakłonić ofiarę do jej otwarcia, wywołać uszkodzenie pamięci i wykonać dowolny kod w systemie docelowym. Pomyślne wykorzystanie tej luki może spowodować całkowite złamanie zabezpieczeń podatnego na ataki systemu.
Linkhttps://www.mozilla.org/en-US/security/advisories/mfsa2020-38/
ProduktFirefox ESR < 68.12
Thunderbird < 68.12
Numer CVECVE-2020-15669
Krytyczność7.7/10
OpisLuka umożliwia zdalnemu atakującemu złamanie zabezpieczeń systemu podatnego na atak.Luka istnieje z powodu błędu użycia po zwolnieniu podczas przerywania operacji w przeglądarce. Osoba atakująca zdalnie może stworzyć specjalnie spreparowaną stronę internetową, nakłonić ofiarę do odwiedzenia jej, wywołać błąd „użyj po zwolnieniu” i wykonać dowolny kod w systemie.Pomyślne wykorzystanie tej luki może pozwolić osobie atakującej na złamanie zabezpieczeń systemu, którego dotyczy luka.
Linkhttps://www.mozilla.org/en-US/security/advisories/mfsa2020-37/