Descrição
Múltiplas vulnerabilidades sérias foram encontradas no Firefox. Usuários mal-intencionados podem explorar essas vulnerabilidades para causar negação de serviço, ignorar restrições de segurança ou executar código arbitrário.
Abaixo está uma lista completa de vulnerabilidades
- A vulnerabilidade "use-after-free" pode ser explorada remotamente através de uma página web especialmente projetada para causar negação de serviço ou executar código arbitrário;
- A falta de restrições no mecanismo de instalação de complementos pode ser explorada remotamente por meio de uma página da Web especialmente projetada para contornar as restrições de segurança.
Detalhes técnicos
(1) pode ser explorado através de um elemento <canvas> especialmente projetado. Ocorre quando o evento de redimensionamento coopera com as alterações de estilo, o que causa a recriação da referência da tela original.
Normalmente, quando o usuário digita o URL para um complemento, os avisos diretamente são ignorados porque são resultado da ação direta do usuário. data: o URL pode ser manipulado para simular a entrada direta do usuário para explorar (2) . Além disso, a URL pode ser falsificada para manipular o usuário para acreditar falsamente que a instalação foi iniciada pelo site confiável.
Comunicados originais
Lista de CVE
Saiba mais
Descubra as estatísticas das vulnerabilidades que se espalham em sua região statistics.securelist.com