Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv. Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.
Kaspersky ID:
KLA10765
Detekováno:
03/08/2016
Aktualizováno:
05/04/2018

Popis

V Mozille Firefox bylo nalezeno několik závažných chyb. Škodlivé uživatele mohou tyto chyby zabezpečení zneužít k tomu, že způsobí odmítnutí služby, obejdou bezpečnostní omezení, získají citlivé informace, spouští libovolný kód, spoofují uživatelské rozhraní, získají oprávnění a zapisují místní soubory.

Níže je uveden úplný seznam chyb zabezpečení

  1. Mnoho bezpečnostních chyb paměti v prohlížeči může být vzdáleně využíváno, aby způsobilo odmítnutí služby a případné spuštění libovolného kódu;
  2. Nedostatečné omezení omezení URI ve zprávách o porušení zásad zabezpečení obsahu (CSP) lze vzdáleně využívat prostřednictvím speciálně navržené stránky pro přepsání libovolného souboru;
  3. Nedostatek implementace omezování specifikací v hlášeních o porušení CSP lze vzdáleně využít k získání citlivých informací;
  4. Nesprávná manipulace s pamětí může být vzdáleně využívána prostřednictvím speciálně navržených operací WebGL, které způsobují odmítnutí služby; (Linux)
  5. Únik paměti v souboru libstagefright lze vzdáleně využít pomocí speciálně vytvořeného videa MPEG4;
  6. Neznámá zranitelnost může být vzdáleně využívána prostřednictvím speciálně navrženého jazyka JavaScript pro spoofování uživatelského rozhraní.
  7. Neznámá zranitelnost v rozhraní API klientů v servisních pracovnících může být zneužita k odmítnutí služby nebo případnému spuštění libovolného kódu;
  8. Chyba zabezpečení po selhání v analyzátoru řetězce HTML5 lze vzdáleně využívat prostřednictvím speciálně vytvořeného obsahu, který způsobuje odmítnutí služby nebo případně spuštění libovolného kódu;
  9. Chyba zabezpečení po použití v HTMLDocumentu může být vzdáleně využívána prostřednictvím speciálně vytvořeného obsahu, který způsobuje odmítnutí služby nebo spouštění libovolného kódu;
  10. Použití bezobslužné ochrany na webu WebRTC lze vzdáleně využívat k odmítnutí služby nebo ke spuštění libovolného kódu;
  11. Neznámá zranitelnost aplikace FileReader API může být místně zneužita prostřednictvím manipulace se soubory, která způsobí odmítnutí služby nebo získání oprávnění;
  12. Bezkonkurenční bezpečnost při transformaci XML lze využít vzdáleně prostřednictvím speciálně navrženého webového obsahu;
  13. Neznámá zranitelnost může být vzdáleně využívána pomocí navigačních manipulací s webovými stránkami;
  14. Neznámá zranitelnost může být vzdáleně využívána prostřednictvím speciálně navrženého přesměrování, aby se obešlo bezpečnostní omezení.
  15. Pootočení ukazováčku v Brotli lze vzdáleně využít k odmítnutí služby nebo ke spuštění libovolného kódu;
  16. Nesprávná dereference ukazatele na NPAPI lze vzdáleně využít pomocí speciálně navrženého pluginu v souladu se speciálně navrženým webovým obsahem, který způsobí odmítnutí služby nebo spuštění libovolného kódu;
  17. Celočíselný podtok v WebRTC může být vzdáleně využíván prostřednictvím speciálně vytvořeného webového obsahu, který způsobí odmítnutí služby nebo spuštění libovolného kódu;
  18. Chybějící kontrola stavu v síti WebRTC může být vzdáleně využita prostřednictvím speciálně vytvořeného webového obsahu, který způsobí odmítnutí služby nebo spuštění libovolného kódu; (Okna)
  19. Různé podmínky závodů v síti WebRTC mohou být potenciálně vzdáleně využívány prostřednictvím speciálně vytvořeného webového obsahu, který může způsobit odmítnutí služby nebo spuštění libovolného kódu;
  20. Použití smazaných ukazatelů na webu WebRTC může být vzdáleně využíváno prostřednictvím speciálně vytvořeného webového obsahu, které může způsobit odmítnutí služby nebo spuštění libovolného kódu;
  21. Závodní stav v LibVPX může být potenciálně vzdáleně využíván prostřednictvím speciálně vytvořeného webového obsahu, který způsobí odmítnutí služby nebo spuštění libovolného kódu;
  22. Bezproblémová bezpečnost při WebRTC může být vzdáleně využívána prostřednictvím speciálně vytvořeného webového obsahu, který může způsobit odmítnutí služby nebo případně spuštění libovolného kódu;
  23. Zranitelnost mimo hranice v parseru HTML může být vzdáleně využívána pomocí speciálně unicode řetězců nebo obsahu XML a SVG, které způsobí odmítnutí služby nebo případně spuštění libovolného kódu;
  24. Přetečení vyrovnávací paměti u zastaralé verze služby Network Security Service (NSS) lze vzdáleně využít pomocí speciálně vytvořeného certifikátu, který způsobí odmítnutí služby nebo spuštění libovolného kódu;
  25. Bezpečné použití po zastaralé verzi NSS lze vzdáleně využít pomocí speciálně navrženého klíče, který způsobuje odmítnutí služby;
  26. Může být vzdáleně využito více neinicializovaných paměťových využití, čtení mimo hranice, psaní mimo hranice a další neznámé chyby, které mohou způsobit odmítnutí služby nebo případné spuštění libovolného kódu.

Technické údaje

Chyba zabezpečení (1) související s js / src / jit / arm / Assembler-arm.cpp a dalšími neznámými vektory.

Chyba zabezpečení (2) související s funkcí nsCSPContext :: SendReports v doméně / security / nsCSPContext.cpp, která nezabrání zprávě URI o protokolu pro protokol CSP. Tuto chybu zabezpečení lze spustit, pokud uživatel zakázal podepisování doplňku a nainstaloval doplněk rozbalený.

Chyba zabezpečení (3) způsobená ukládáním informací o úplné cestě pro navigaci přesahující hranice.

Chyba zabezpečení (4) lze využít při provádění operací WebGL na plátně, které vyžaduje přidělování neobvykle velkého množství vyrovnávací paměti. Tuto chybu zabezpečení lze využít v systému Linux s ovladačem videa Intel. Pokud byla zranitelnost úspěšně zneužita, bude nutné restartovat počítač, aby se vrátila funkce.

Chyba zabezpečení (5) lze využít prostřednictvím videa, které spouští operaci mazání na poli.

Chyba zabezpečení (6) související s prohlížečem / base / content / browser.js, který umožňuje adresu adresy spoof přes adresu jsvscropt: URL.

Chyba zabezpečení (8) může být zneužita prostřednictvím spouštění obsahu nesprávných koncových značek. Tato chyba související s nsHtml5TreeBuilder .

Chyba zabezpečení (9) může být zneužívána prostřednictvím spouštění obsahu nesprávného kořenového prvku. Tato chyba zabezpečení se týká funkce nsHTMLDocument :: SetBody v dom / html / nsHTMLDocument.cpp

Chyba zabezpečení (10) může být zneužita prostřednictvím zneužití nesprávného připojení datového kanálu WebRTC.

Chyba zabezpečení (11) lze využít při úpravách souborů během operace čtení souborů API.

Chyba zabezpečení (12) souvisí s funkcí AtomicBaseIncDec .

Chyba zabezpečení (13) lze využít prostřednictvím navigačních sekvencí, které zahrnují návrat zpět. Pokud se uživatel vrátí na původní stránku zobrazená adresa URL, nebude to znamenat opětovné vložení stránky.

Chyba zabezpečení (14) souvisí s již popsanou chybou CVE-2015-7207 . Bylo zjištěno, že navigace v historii v obnovené relaci prohlížeče stále umožňuje stejný útok.

Chyba zabezpečení (16) týkající se funkce nsNPObjWrapper :: GetNewOrUsed v dom / plugins / base / nsJSNPRuntime.cpp

Chyba zabezpečení (17) související s funkcí srtp_unprotect .

Chyba zabezpečení (18) týkající se funkce I420VideoFrame :: CreateFrame v systému Windows.

Chyba zabezpečení (19) týkající se dom / media / systemservices / CamerasChild.cpp

Chyba zabezpečení (20) související s třídou DesktopDisplayDevice .

Chyba zabezpečení (22) související s funkcí GetStaticInstance .

Chyba zabezpečení (23) týkající se funkce nsScannerString :: AppendUnicodeTo, která neověřuje úspěšnost přidělení paměti.

Chyba zabezpečení (24) související s chybou zabezpečení ve verzích NSS, které byly starší než 3.19.2.3 a verze 3.20 dříve než 3.21. Tuto chybu zabezpečení lze vzdáleně využívat prostřednictvím speciálně vytvořených dat ASN.1 v certifikátu X.509.

Chyba zabezpečení (25) související s funkcí PK11_ImportDERPrivateKeyInfoAndReturnKey . Tuto chybu zabezpečení lze využít pomocí klíče s kódovanými daty DER.

Chyba zabezpečení (26) související s několika různými chybami v kódu, které odpovídají níže uvedeným vektorům:

  1. Stroj :: Kód :: dekodér :: analýza :: funkce set_ref ;
  2. grafit2 :: TtfUtil :: GetTableInfo funkce;
  3. grafit2 :: GlyphCache :: funkce glyf ;
  4. graphite2 :: Slot :: funkce getAttr v Slot.cpp ;
  5. CachedCmap.cpp ;
  6. grafit2 :: TtfUtil :: CmapSubtable12NextCodepoint funkce;
  7. grafit2 :: FileFace :: funkce get_table_fn ;
  8. grafit :: vm :: stroj :: kód :: funkce kódu ;
  9. graphite2 :: TtfUtil :: CmapSubtable12Lookup funkce;
  10. graphite2 :: GlyphCache :: Loader :: Funkce Loader ;
  11. grafit2 :: Slot :: funkce setAttr ;
  12. grafit2 :: TtfUtil :: CmapSubtable4NextCodepoint funkce;

Oficiální doporučení

seznam CVE

Zobrazit více

Zjistěte statistiky zranitelností šířících se ve vaší oblasti statistics.securelist.com

Našli jste v popisu této chyby zabezpečení nepřesnost? Dej nám vědět!
Kaspersky Next
Let’s go Next: redefine your business’s cybersecurity
Zjistěte více
Kaspersky Premium
Zjistěte více
Confirm changes?
Your message has been sent successfully.