Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv. Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.
Produkty:
Domů
Pro malé podniky
Pro střední podniky
Pro velké podniky
Zranitelnosti Hrozby
Úvod Zranitelnosti

Více zranitelností v Mozille Firefox a Mozilla Firefox ESR

Kaspersky ID:
KLA11004
Detekováno:
04/19/2017
Aktualizováno:
05/04/2018

Popis

V Mozilla Firefox a Mozilla Firefox ESR bylo nalezeno několik závažných chyb. Škodlivé uživatele mohou tyto chyby zabezpečení zneužít k odmítnutí služby, spoofovat uživatelské rozhraní, získávat citlivé informace, spouštět libovolný kód, provádět útoky skriptování mezi jednotlivými servery, obcházet bezpečnostní omezení, získávat oprávnění a číst a psát místní soubory.

Níže je uveden kompletní seznam chyb zabezpečení:

  1. Zranitelnost po použití v síti SMIL může být vzdáleně využívána, aby způsobila odmítnutí služby;
  2. Bezpečné použití po selhání, ke kterému dochází během zpracování transakcí v editoru, lze vzdáleně využít, aby způsobilo odmítnutí služby;
  3. Chyba zabezpečení v grafitové knihovně 2 může být zneužita vzdáleně, aby způsobila odmítnutí služby;
  4. Kritická chyba při zápisu v kódování BASE64 v NSS může být vzdáleně využívána k odmítnutí služby;
  5. Chyba zabezpečení přetečení vyrovnávací paměti v WebGL může být vzdáleně využívána k odmítnutí služby;
  6. Bezproblémová pohotovost při manipulaci se zaostřením může být vzdáleně využívána k odmítnutí služby;
  7. Bezchybnost při volbě textu může být využívána vzdáleně, což způsobuje odmítnutí služby;
  8. Bezchybnost při volbě rámce může být zneužita vzdáleně, což způsobuje odmítnutí služby;
  9. Bezpečné použití po nsAutoPtr a nsTArrayLength () během zpracování XSLT lze vzdáleně využít k tomu, aby způsobilo odmítnutí služby;
  10. Bezproblémová pošta v destruktoru txExecutionState související s procesorem XSLT může být vzdáleně využívána k odmítnutí služby;
  11. Bezproblémová po použití v souvislosti s držením výběru během událostí posouvání může být vzdáleně využívána k odmítnutí služby;
  12. Bezchybnost použití po volání týkající se změn stylu při manipulaci s prvky DOM může být vzdáleně využívána, aby způsobila odmítnutí služby;
  13. Chyba týkající se poškození paměti, která souvisí s manipulací DOM s přístupovým stromem, může být vzdáleně využívána k odmítnutí služby;
  14. Chyba při zápisu mimo BinHex lze vzdáleně využít k odmítnutí služby;
  15. Chyba zabezpečení přetečení vyrovnávací paměti ve formátu aplikace / http-indexového formátu může být vzdáleně využívána k tomu, aby umožnila čtení dat mimo paměť;
  16. K dispozici je chyba zabezpečení pro čtení mimo rámec HTTP / 2 DATA s nesprávným datovým obsahem, která může být vzdáleně využívána k odmítnutí služby;
  17. Citlivost na čtení mimo hranice, která se týká zpracování glyfů, lze vzdáleně využít, aby způsobila odmítnutí služby.
  18. V aplikaci ConvolvePixel může být vzdáleně využívána zranitelnost, která je čtena mimo hranice, což způsobuje odmítnutí služby;
  19. Chyba zabezpečení v programu ClearKeyDecryptor může být zneužita vzdáleně, což způsobí odmítnutí služby.
  20. Více vzdáleností čtení zranitelností v knihovně Libevent lze vzdáleně využívat k odmítnutí služby;
  21. Potenciální zranitelnost přetečení vyrovnávací paměti v flex-generovaném kódu může být vzdáleně využívána k odmítnutí služby;
  22. Čtení zranitelnosti neinicializované paměti ve formátu aplikace / http-indexového formátu lze vzdáleně využít k čtení neinicializované paměti;
  23. Nesprávné generování DRBG čísel v knihovně NSS (Network Security Services) může být vzdáleně využíváno, aby způsobilo odmítnutí služby nebo spuštění libovolného kódu;
  24. Mnohé zranitelnosti poškození paměti, ke kterým dochází z důvodu bezpečnostních chyb paměti, lze vzdáleně využít k provádění libovolného kódu
  25. Zranitelnost původu zmatení související s opětovným načtením izolovaných dat: textová / html adresa URL může být vzdáleně využívána ke spuštění útoku přes XSS (cross-site scripting);
  26. Nesprávná manipulace s únikem pískoviště může být vzdáleně využívána pomocí nástroje pro výběr souborů pomocí relativních cest k vynechání bezpečnostních omezení a získání oprávnění (získat přístup pouze pro čtení k místnímu systému souborů);
  27. Nesprávné zacházení s interními čtečkami rozhraní API, které překročily hranici sandboxu, lze vzdáleně využívat k získání oprávnění a případně ke spuštění libovolného kódu uvnitř procesu sandboxed;
  28. Nesprávná práce konstruktoru požadavků na souborový systém v karanténě může být vzdáleně využívána prostřednictvím speciálně navržené zprávy IPC, která by obcházla bezpečnostní omezení, četla a zapisovala soubory do místního systému;
  29. Potenciální zranitelnost související s uspořádáním a manipulací obousměrného textového textu v kombinaci s animacemi CSS může být vzdáleně využívána k odmítnutí služby;
  30. Chyba zabezpečení spoofing adresáře v události onblur může být vzdáleně využívána k tomu, aby se načtená stránka zdála být odlišná od stránky skutečně načtené v adresním řádku;
  31. Potenciální porucha paměti, ke které dochází při kreslení obsahu Skia mimo hranice ořezové oblasti, může být vzdáleně využívána, aby způsobila odmítnutí služby.
  32. Nesprávná manipulace s únikovými znaky odeslanými jako parametry adresy URL pro prvek daného zdroje při podávání statického HTML do stránky náhledu čtečky RSS lze vzdáleně využívat ke zneužití uživatelského rozhraní;
  33. Nesprávné zacházení s přetažením javascriptu: Adresa URL do adresního řádku může být vzdáleně využívána k provádění útoku XSS (cross-site scripting) na sebe;
  34. Problém s nesprávným vlastnictvím modelu privateBrowsing informace (který je vystaven prostřednictvím nástrojů snižování) lze vzdáleně využít při ladění, což způsobuje odmítnutí služby.

Technické údaje

Chyba zabezpečení (23) může ovlivnit zobrazený text tak, aby načtené místo vypadalo jinak než ten, který má být načten do adresního řádku.

Chyba zabezpečení (29) nastává, protože se k vytvoření pole používají unitializované hodnoty.

Chyba zabezpečení (31) nastává, protože interní stav V v knihovně NSS správně nese bity.

Zranitelnosti 1-24 souvisejí s programem Mozilla Firefox ESR před 45.9

Zranitelnosti 1-31 souvisejí s aplikací Mozilla Firefox ESR před 52.1

Všechny chyby zabezpečení jsou související s aplikací Mozilla Firefox.

Pozn .: Tato zranitelnost nemá žádný veřejný rating CVSS, aby bylo možné měnit jeho hodnocení v čase.

Pozn .: V tuto chvíli Mozilla právě rezervovala čísla CVE pro tuto chybu zabezpečení. Informace lze brzy změnit.

Oficiální doporučení

seznam CVE

Zobrazit více

Zjistěte statistiky zranitelností šířících se ve vaší oblasti statistics.securelist.com

Našli jste v popisu této chyby zabezpečení nepřesnost? Dej nám vědět!
Kaspersky Premium
Zjistěte více
Kaspersky Next
Let’s go Next: redefine your business’s cybersecurity
Zjistěte více
Related articles
24 April 2024
Securelist
Assessing the Y, and How, of the XZ Utils incident
22 April 2024
Securelist
ToddyCat is making holes in your infrastructure
18 April 2024
Securelist
DuneQuixote campaign targets Middle Eastern entities with “CR4T” malware
17 April 2024
Securelist
SoumniBot: the new Android banker’s unique techniques
15 April 2024
Securelist
Using the LockBit builder to generate targeted ransomware
12 April 2024
Securelist
XZ backdoor story – Initial analysis
Našli jste v popisu této chyby zabezpečení nepřesnost?
Pokud jste našli novou hrozbu nebo zranitelnost, dejte nám prosím vědět e-mailem:
newvirus@kaspersky.com
Našli jste novou hrozbu nebo zranitelnost?
Pokud jste našli novou hrozbu nebo zranitelnost, dejte nám prosím vědět e-mailem:
newvirus@kaspersky.com
Produkty
Domů
Pro malé podniky
Pro střední podniky
Pro velké podniky
Select language
Sorting
Kaspersky ID
Zranitelnost
Detect date
Míra zranitelnosti
Confirm changes?
Your message has been sent successfully.