Várias vulnerabilidades no Mozilla Firefox e Firefox ESR

Descrição

Várias vulnerabilidades sérias foram encontradas no Firefox e no Firefox ESR. Os usuários mal-intencionados podem explorar essas vulnerabilidades para causar negação de serviço, falsificar a interface do usuário, ignorar restrições de segurança, obter informações confidenciais e executar scripts entre sites.

Abaixo está a lista completa de vulnerabilidades:

1. Uma vulnerabilidade de uso após a liberação relacionada à API de busca pode ser explorada remotamente para causar negação de serviço;
2. Uma vulnerabilidade de uso após a liberação relacionada a elementos ARIA (Accessible Rich Internet Applications) pode ser explorada remotamente para causar negação de serviço;
3. Uma vulnerabilidade de uso depois de livre pode ser explorada para causar negação de serviço;
4. Uma vulnerabilidade de estouro de buffer relacionada à biblioteca gráfica ANGLE pode ser explorada para causar negação de serviço;
5. Uma vulnerabilidade de uso após a liberação relacionada ao TLS 1.2 d pode ser explorada remotamente para causar negação de serviço;
6. Uma vulnerabilidade relacionada a blob: e dados: URLs podem ser explorados remotamente para contornar restrições de segurança;
7. Uma vulnerabilidade relacionada à renderização de algumas fontes do OS X pode ser explorada remotamente para contornar restrições de segurança;
8. Uma vulnerabilidade relacionada à diretiva de caixa de proteção de diretiva de segurança de conteúdo (CSP) pode ser explorada remotamente para executar o script entre sites;
9. Múltiplas vulnerabilidades de corrupção de memória que ocorrem devido a bugs de segurança de memória podem ser exploradas remotamente para executar código arbitrário;
10. Uma vulnerabilidade não especificada pode ser explorada remotamente para falsificar a interface do usuário;
11. Uma vulnerabilidade relacionada ao recurso arrastar e soltar pode ser explorada remotamente por meio de conteúdo de página especialmente projetado para ler arquivos locais;
12. Uma vulnerabilidade relacionada ao analisador JavaScript pode ser potencialmente explorada para causar negação de serviço ou obter informações confidenciais;
13. Uma vulnerabilidade não especificada nos dados: o protocolo pode ser explorado remotamente através de páginas contendo um iframe para falsificar a interface do usuário;
14. Várias vulnerabilidades relacionadas ao carregamento do WebExtension podem ser exploradas para contornar restrições de segurança;
15. Uma vulnerabilidade relacionada à implementação do AES-GCM na API WebCrypto pode ser explorada remotamente para obter informações confidenciais;
16. Uma vulnerabilidade relacionada ao mecanismo de wrapper do Xray pode ser explorada remotamente para falsificar a interface do usuário.

---

Detalhes técnicos

Vulnerabilidade (2) afeta apenas o Firefox para Android. Outros sistemas operacionais não são afetados.

Vulnerabilidade (3) ocorre no modo de design ao redimensionar imagens.

Vulnerabilidade (7) afeta apenas o sistema operacional OS X. Outros sistemas operacionais não são afetados.

Vulnerabilidade (14) afeta apenas o Firefox para Android. Outros sistemas operacionais não são afetados.

Vulnerabilidade (15) afeta apenas instalações com multiprocesso e10 desativado.

Vulnerabilidades 1-9 estão relacionadas ao Mozilla Firefox ESR.

Todas as vulnerabilidades estão relacionadas ao Mozilla Firefox.

NB: Nem todas as vulnerabilidades já possuem classificação CVSS, portanto, a classificação CVSS cumulativa pode não ser representativa.

NB: Esta vulnerabilidade não tem nenhuma classificação CVSS pública, portanto, a classificação pode ser alterada pelo tempo.

NB: Neste momento, a Mozilla acaba de reservar números CVE para essas vulnerabilidades. As informações podem ser alteradas em breve.

Comunicados originais

• MSFA 2017-22

• MSFA 2017-21

Lista de CVE

Saiba mais

Descubra as estatísticas das vulnerabilidades que se espalham em sua região statistics.securelist.com