Více zranitelností v Mozille Firefoxu a Firefoxu ESR

Popis

V Mozille Firefox bylo nalezeno několik závažných chyb. Škodlivé uživatelé mohou tyto chyby zabezpečení zneužít k vynechání bezpečnostních omezení, zavádění libovolného kódu, zvýšení oprávnění, způsobení odmítnutí služby nebo získání citlivých informací.

Níže je uveden úplný seznam chyb zabezpečení

1. Bezpečnostní paměťové chyby lze využít k spuštění libovolného kódu;
2. Aktualizační služba Mozilla Maintenance Service může být lokálně využívána prostřednictvím speciálně vytvořeného souboru pro odstranění libovolných souborů a případně pro eskalaci oprávnění; (Okna)
3. Neznámá zranitelnost ve Firefoxu pro Android může být vzdáleně využívána prostřednictvím dříve nainstalované škodlivé aplikace pro získání citlivých informací; (Verze Androidu starší než 5.0)
4. Nesprávné zacházení s předměty v servisních pracovnících může být zneužito k tomu, aby způsobilo odmítnutí služby nebo jiné neznámé dopady;
5. Neznámá zranitelnost u pracovníků služby může být zneužita přes přetečení vyrovnávací paměti, která způsobí odmítnutí služby;
6. Neoprávněný přístup k orientačním údajům a pohybovým senzorům ve Firefoxu pro Android lze využít k tomu, aby byly zveřejněny uživatelské akce prostřednictvím speciálně vytvořeného kódu JavaScript. (Android)
7. Nesprávné zacházení s velikostem lze vzdáleně využívat prostřednictvím speciálně vytvořeného webového obsahu, který způsobuje odmítnutí služby;
8. Nesprávná politika zabezpečení obsahu (CSP), která se vztahuje na webový obsah, může být využívána k provádění útoku XSS prostřednictvím vytvořeného webu;
9. Neznámá zranitelnost v rozhraní API pro rozšíření webu může být vzdáleně využívána prostřednictvím speciálně vytvořeného webového rozšíření pro provádění XSS a vkládání obsahu do legitimní rozšíření.
10. Neznámá zranitelnost může být vzdáleně využívána prostřednictvím speciálně vytvořené škodlivé stránky k libovolnému spuštění kódu;
11. Nesprávné zpracování událostí ve zprávě o zdravotním stavu aplikace Firefox je možné využít prostřednictvím dokumentu speciálně vytvořeného obsahu pro iframe vzdálené zprávy, který má vložit webový obsah do iframe Firefox Health Report;

---

Technické údaje

Chyba zabezpečení (2) způsobená privilegovaným systémovým přístupem služby Mozilla Maintenance Service.

Chyba zabezpečení (3) umožňuje přístup uživatelů se škodlivým uživatelským účtem pro prohlížeč Firefox s cílem číst data včetně historie prohlížeče a místně uložených hesel. Vyskytuje se, když je definován seznam oprávnění, který odpovídá těm, které Firefox používá pro poskytovatele obsahu a obchází ochranu podpisů.

Chyba zabezpečení (4) způsobená tím, že aktivní objekt ServiceWorkerInfo zůstane po dokončení registrace. Získáme za to výsledek.

Chyba zabezpečení (5) způsobená stavem závodů v ServiceWorkerManageru.

Chyba zabezpečení (7) způsobená nesprávnou manipulací s offsetmi CENC a tabulkami velikostí v knihovně libstagefright . Může být využito přes přetečení vyrovnávací paměti.

Chyba zabezpečení (8) způsobená odesláním protokolu CSP s typem MIME typu multipart / x-mixed .

Chyba zabezpečení (9) související s rozhraními chrome.tabs.update API a umožňuje navigaci k adresám URL JavaScript bez dalších oprávnění. Vkládání obsahu do legitimních rozšíření je možné, pokud obsahují na kartách prohlížeče obsah.

Chyba zabezpečení (10) související s metodou JavaScript .watch (), která by mohla být použita k překonání počtu generování 32bitových podkladových HashMapů. Výsledkem bude zápis neplatné položky. Přetečení vyžaduje, aby uživatel udržel škodlivou stránku otevřenou po dobu trvání útoku.

Chyba zabezpečení (11) umožňuje útočníkovi změnit předvolby sdílení uživatele spuštěním příslušných událostí na jeho stránce obsahující.

Oficiální doporučení

• Mozilla Foundation Advisories

seznam CVE

Zobrazit více

Zjistěte statistiky zranitelností šířících se ve vaší oblasti statistics.securelist.com