Várias vulnerabilidades no Mozilla Firefox e Firefox ESR

Descrição

Múltiplas vulnerabilidades sérias foram encontradas no Mozilla Firefox e no Mozilla Firefox ESR. Usuários mal-intencionados podem explorar essas vulnerabilidades para causar uma negação de serviço, falsificar a interface do usuário, obter informações confidenciais, executar código arbitrário, executar ataques de script entre sites e ignorar restrições de segurança.

Abaixo está uma lista completa de vulnerabilidades:

1. A vulnerabilidade de estouro de buffer pode ser explorada remotamente por meio da manipulação do arquivo animatedPathSegList do SVG por meio do script para causar negação de serviço;
2. Uma vulnerabilidade de uso depois de livre pode ser explorada remotamente para causar negação de serviço;
3. Uma vulnerabilidade não especificada em parâmetros de IPCMS pode ser explorada remotamente para causar negação de serviço;
4. Uma vulnerabilidade não especificada nas conexões WebRTC pode ser explorada remotamente para causar negação de serviço;
5. Uma vulnerabilidade não especificada na API fetch () pode ser explorada remotamente para contornar restrições de segurança;
6. Uma vulnerabilidade não especificada na API Find para WebExtensions pode ser explorada remotamente para obter informações confidenciais;
7. Uma vulnerabilidade não especificada relacionada à alteração da preferência app.support.baseURL pode ser explorada remotamente para executar o ataque de script entre sites (XSS);
8. Uma vulnerabilidade não especificada em WebExtensions pode ser explorada remotamente para contornar restrições de segurança;
9. Uma vulnerabilidade não especificada em WebExtensions pode ser explorada remotamente para executar o ataque de script entre sites (XSS);
10. Uma vulnerabilidade não especificada relacionada à criação de trabalhador compartilhado a partir de data: URL pode ser explorada remotamente para contornar restrições de segurança;
11. Uma vulnerabilidade de falsificação relacionada à abertura de sites maliciosos na guia personalizada do Android com nome de domínio extremamente longo pode ser explorada remotamente para falsificar a interface do usuário;
12. Uma vulnerabilidade não especificada relacionada ao moz-icon: protocol pode ser explorada remotamente para obter informações confidenciais;
13. Uma vulnerabilidade não especificada nas notificações A API push pode ser explorada remotamente para causar negação de serviço;
14. Uma vulnerabilidade não especificada relacionada às permissões do Media Capture e da API do Streams pode ser explorada remotamente para falsificar a interface do usuário;
15. Uma vulnerabilidade não especificada relacionada a URLs usando javascript: pode ser explorada remotamente para executar um ataque de cross-site scripting (XSS);
16. Múltiplas vulnerabilidades de corrupção de memória podem ser exploradas remotamente para executar código arbitrário;
17. Uma vulnerabilidade de estouro de inteiro relacionada à conversão de texto para alguns caracteres Unicode pode ser explorada remotamente para causar negação de serviço.

---

Detalhes técnicos

Vulnerabilidades (2), (6) – (15) afetam apenas o Mozilla Firefox.

Vulnerabilidade (17) afeta apenas o Mozilla Firefox ESR.

NB: Esta vulnerabilidade não tem nenhuma classificação CVSS pública, portanto, a classificação pode ser alterada pelo tempo.

Comunicados originais

• Mozilla Foundation Security Advisory 2018-06

• Mozilla Foundation Security Advisory 2018-07

Lista de CVE

Saiba mais

Descubra as estatísticas das vulnerabilidades que se espalham em sua região statistics.securelist.com