Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv.

Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.

KLA10795
Více zranitelností v Mozille Firefoxu a Firefoxu ESR
Aktualizováno: 05/04/2018
Detekováno
?
04/26/2016
Míra zranitelnosti
?
Kritická
Popis

V Mozille Firefox bylo nalezeno několik závažných chyb. Škodlivé uživatelé mohou tyto chyby zabezpečení zneužít k vynechání bezpečnostních omezení, zavádění libovolného kódu, zvýšení oprávnění, způsobení odmítnutí služby nebo získání citlivých informací.

Níže je uveden úplný seznam chyb zabezpečení

  1. Bezpečnostní paměťové chyby lze využít k spuštění libovolného kódu;
  2. Aktualizační služba Mozilla Maintenance Service může být lokálně využívána prostřednictvím speciálně vytvořeného souboru pro odstranění libovolných souborů a případně pro eskalaci oprávnění; (Okna)
  3. Neznámá zranitelnost ve Firefoxu pro Android může být vzdáleně využívána prostřednictvím dříve nainstalované škodlivé aplikace pro získání citlivých informací; (Verze Androidu starší než 5.0)
  4. Nesprávné zacházení s předměty v servisních pracovnících může být zneužito k tomu, aby způsobilo odmítnutí služby nebo jiné neznámé dopady;
  5. Neznámá zranitelnost u pracovníků služby může být zneužita přes přetečení vyrovnávací paměti, která způsobí odmítnutí služby;
  6. Neoprávněný přístup k orientačním údajům a pohybovým senzorům ve Firefoxu pro Android lze využít k tomu, aby byly zveřejněny uživatelské akce prostřednictvím speciálně vytvořeného kódu JavaScript. (Android)
  7. Nesprávné zacházení s velikostem lze vzdáleně využívat prostřednictvím speciálně vytvořeného webového obsahu, který způsobuje odmítnutí služby;
  8. Nesprávná politika zabezpečení obsahu (CSP), která se vztahuje na webový obsah, může být využívána k provádění útoku XSS prostřednictvím vytvořeného webu;
  9. Neznámá zranitelnost v rozhraní API pro rozšíření webu může být vzdáleně využívána prostřednictvím speciálně vytvořeného webového rozšíření pro provádění XSS a vkládání obsahu do legitimní rozšíření.
  10. Neznámá zranitelnost může být vzdáleně využívána prostřednictvím speciálně vytvořené škodlivé stránky k libovolnému spuštění kódu;
  11. Nesprávné zpracování událostí ve zprávě o zdravotním stavu aplikace Firefox je možné využít prostřednictvím dokumentu speciálně vytvořeného obsahu pro iframe vzdálené zprávy, který má vložit webový obsah do iframe Firefox Health Report;

Technické údaje

Chyba zabezpečení (2) způsobená privilegovaným systémovým přístupem služby Mozilla Maintenance Service.

Chyba zabezpečení (3) umožňuje přístup uživatelů se škodlivým uživatelským účtem pro prohlížeč Firefox s cílem číst data včetně historie prohlížeče a místně uložených hesel. Vyskytuje se, když je definován seznam oprávnění, který odpovídá těm, které Firefox používá pro poskytovatele obsahu a obchází ochranu podpisů.

Chyba zabezpečení (4) způsobená tím, že aktivní objekt ServiceWorkerInfo zůstane po dokončení registrace. Získáme za to výsledek.

Chyba zabezpečení (5) způsobená stavem závodů v ServiceWorkerManageru.

Chyba zabezpečení (7) způsobená nesprávnou manipulací s offsetmi CENC a tabulkami velikostí v knihovně libstagefright . Může být využito přes přetečení vyrovnávací paměti.

Chyba zabezpečení (8) způsobená odesláním protokolu CSP s typem MIME typu multipart / x-mixed .

Chyba zabezpečení (9) související s rozhraními chrome.tabs.update API a umožňuje navigaci k adresám URL JavaScript bez dalších oprávnění. Vkládání obsahu do legitimních rozšíření je možné, pokud obsahují na kartách prohlížeče obsah.

Chyba zabezpečení (10) související s metodou JavaScript .watch (), která by mohla být použita k překonání počtu generování 32bitových podkladových HashMapů. Výsledkem bude zápis neplatné položky. Přetečení vyžaduje, aby uživatel udržel škodlivou stránku otevřenou po dobu trvání útoku.

Chyba zabezpečení (11) umožňuje útočníkovi změnit předvolby sdílení uživatele spuštěním příslušných událostí na jeho stránce obsahující.

Zasažené produkty

Mozilla Firefox verze starší než 46
Mozilla Firefox verze ESR starší než 38,8
Mozilla Firefox ESR 45 verze starší než 45,1

Řešení

Aktualizace na nejnovější verzi
Získejte Firefox
Získejte Firefox ESR

Oficiální doporučení

Mozilla Foundation Advisories

Dopad
?
CI 
[?]

ACE 
[?]

OSI 
[?]

PE 
[?]

DoS 
[?]
Související produkty
Mozilla Firefox for Android
Mozilla Firefox ESR
Mozilla Firefox
CVE-IDS
?

CVE-2016-2804
CVE-2016-2805
CVE-2016-2806
CVE-2016-2807
CVE-2016-2808
CVE-2016-2809
CVE-2016-2810
CVE-2016-2811
CVE-2016-2812
CVE-2016-2813
CVE-2016-2814
CVE-2016-2816
CVE-2016-2817
CVE-2016-2820
CVE-2016-1780


Odkaz na originál