Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv.

Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.

KLA11004
Více zranitelností v Mozille Firefox a Mozilla Firefox ESR
Aktualizováno: 05/04/2018
Detekováno
?
04/19/2017
Míra zranitelnosti
?
Kritická
Popis

V Mozilla Firefox a Mozilla Firefox ESR bylo nalezeno několik závažných chyb. Škodlivé uživatele mohou tyto chyby zabezpečení zneužít k odmítnutí služby, spoofovat uživatelské rozhraní, získávat citlivé informace, spouštět libovolný kód, provádět útoky skriptování mezi jednotlivými servery, obcházet bezpečnostní omezení, získávat oprávnění a číst a psát místní soubory.

Níže je uveden kompletní seznam chyb zabezpečení:

  1. Zranitelnost po použití v síti SMIL může být vzdáleně využívána, aby způsobila odmítnutí služby;
  2. Bezpečné použití po selhání, ke kterému dochází během zpracování transakcí v editoru, lze vzdáleně využít, aby způsobilo odmítnutí služby;
  3. Chyba zabezpečení v grafitové knihovně 2 může být zneužita vzdáleně, aby způsobila odmítnutí služby;
  4. Kritická chyba při zápisu v kódování BASE64 v NSS může být vzdáleně využívána k odmítnutí služby;
  5. Chyba zabezpečení přetečení vyrovnávací paměti v WebGL může být vzdáleně využívána k odmítnutí služby;
  6. Bezproblémová pohotovost při manipulaci se zaostřením může být vzdáleně využívána k odmítnutí služby;
  7. Bezchybnost při volbě textu může být využívána vzdáleně, což způsobuje odmítnutí služby;
  8. Bezchybnost při volbě rámce může být zneužita vzdáleně, což způsobuje odmítnutí služby;
  9. Bezpečné použití po nsAutoPtr a nsTArrayLength () během zpracování XSLT lze vzdáleně využít k tomu, aby způsobilo odmítnutí služby;
  10. Bezproblémová pošta v destruktoru txExecutionState související s procesorem XSLT může být vzdáleně využívána k odmítnutí služby;
  11. Bezproblémová po použití v souvislosti s držením výběru během událostí posouvání může být vzdáleně využívána k odmítnutí služby;
  12. Bezchybnost použití po volání týkající se změn stylu při manipulaci s prvky DOM může být vzdáleně využívána, aby způsobila odmítnutí služby;
  13. Chyba týkající se poškození paměti, která souvisí s manipulací DOM s přístupovým stromem, může být vzdáleně využívána k odmítnutí služby;
  14. Chyba při zápisu mimo BinHex lze vzdáleně využít k odmítnutí služby;
  15. Chyba zabezpečení přetečení vyrovnávací paměti ve formátu aplikace / http-indexového formátu může být vzdáleně využívána k tomu, aby umožnila čtení dat mimo paměť;
  16. K dispozici je chyba zabezpečení pro čtení mimo rámec HTTP / 2 DATA s nesprávným datovým obsahem, která může být vzdáleně využívána k odmítnutí služby;
  17. Citlivost na čtení mimo hranice, která se týká zpracování glyfů, lze vzdáleně využít, aby způsobila odmítnutí služby.
  18. V aplikaci ConvolvePixel může být vzdáleně využívána zranitelnost, která je čtena mimo hranice, což způsobuje odmítnutí služby;
  19. Chyba zabezpečení v programu ClearKeyDecryptor může být zneužita vzdáleně, což způsobí odmítnutí služby.
  20. Více vzdáleností čtení zranitelností v knihovně Libevent lze vzdáleně využívat k odmítnutí služby;
  21. Potenciální zranitelnost přetečení vyrovnávací paměti v flex-generovaném kódu může být vzdáleně využívána k odmítnutí služby;
  22. Čtení zranitelnosti neinicializované paměti ve formátu aplikace / http-indexového formátu lze vzdáleně využít k čtení neinicializované paměti;
  23. Nesprávné generování DRBG čísel v knihovně NSS (Network Security Services) může být vzdáleně využíváno, aby způsobilo odmítnutí služby nebo spuštění libovolného kódu;
  24. Mnohé zranitelnosti poškození paměti, ke kterým dochází z důvodu bezpečnostních chyb paměti, lze vzdáleně využít k provádění libovolného kódu
  25. Zranitelnost původu zmatení související s opětovným načtením izolovaných dat: textová / html adresa URL může být vzdáleně využívána ke spuštění útoku přes XSS (cross-site scripting);
  26. Nesprávná manipulace s únikem pískoviště může být vzdáleně využívána pomocí nástroje pro výběr souborů pomocí relativních cest k vynechání bezpečnostních omezení a získání oprávnění (získat přístup pouze pro čtení k místnímu systému souborů);
  27. Nesprávné zacházení s interními čtečkami rozhraní API, které překročily hranici sandboxu, lze vzdáleně využívat k získání oprávnění a případně ke spuštění libovolného kódu uvnitř procesu sandboxed;
  28. Nesprávná práce konstruktoru požadavků na souborový systém v karanténě může být vzdáleně využívána prostřednictvím speciálně navržené zprávy IPC, která by obcházla bezpečnostní omezení, četla a zapisovala soubory do místního systému;
  29. Potenciální zranitelnost související s uspořádáním a manipulací obousměrného textového textu v kombinaci s animacemi CSS může být vzdáleně využívána k odmítnutí služby;
  30. Chyba zabezpečení spoofing adresáře v události onblur může být vzdáleně využívána k tomu, aby se načtená stránka zdála být odlišná od stránky skutečně načtené v adresním řádku;
  31. Potenciální porucha paměti, ke které dochází při kreslení obsahu Skia mimo hranice ořezové oblasti, může být vzdáleně využívána, aby způsobila odmítnutí služby.
  32. Nesprávná manipulace s únikovými znaky odeslanými jako parametry adresy URL pro prvek daného zdroje při podávání statického HTML do stránky náhledu čtečky RSS lze vzdáleně využívat ke zneužití uživatelského rozhraní;
  33. Nesprávné zacházení s přetažením javascriptu: Adresa URL do adresního řádku může být vzdáleně využívána k provádění útoku XSS (cross-site scripting) na sebe;
  34. Problém s nesprávným vlastnictvím modelu privateBrowsing informace (který je vystaven prostřednictvím nástrojů snižování) lze vzdáleně využít při ladění, což způsobuje odmítnutí služby.

Technické údaje

Chyba zabezpečení (23) může ovlivnit zobrazený text tak, aby načtené místo vypadalo jinak než ten, který má být načten do adresního řádku.

Chyba zabezpečení (29) nastává, protože se k vytvoření pole používají unitializované hodnoty.

Chyba zabezpečení (31) nastává, protože interní stav V v knihovně NSS správně nese bity.

Zranitelnosti 1-24 souvisejí s programem Mozilla Firefox ESR před 45.9

Zranitelnosti 1-31 souvisejí s aplikací Mozilla Firefox ESR před 52.1

Všechny chyby zabezpečení jsou související s aplikací Mozilla Firefox.

Pozn .: Tato zranitelnost nemá žádný veřejný rating CVSS, aby bylo možné měnit jeho hodnocení v čase.

Pozn .: V tuto chvíli Mozilla právě rezervovala čísla CVE pro tuto chybu zabezpečení. Informace lze brzy změnit.

Zasažené produkty

Mozilla Firefox verze starší než 53
Mozilla Firefox verze ESR dříve než 45.9
Mozilla Firefox verze ESR starší než 52,1

Řešení

Aktualizace na nejnovější verzi
Stáhněte si Mozilla Firefox ESR
Stáhněte si Mozilla Firefox

Oficiální doporučení

MFSA-2017-10
MFSA-2017-11
MFSA-2017-12

Dopad
?
WLF 
[?]

RLF 
[?]

SUI 
[?]

ACE 
[?]

OSI 
[?]

XSSCSS 
[?]

SB 
[?]

PE 
[?]

DoS 
[?]
Související produkty
Mozilla Firefox ESR
Mozilla Firefox
CVE-IDS
?

CVE-2017-5468
CVE-2017-5458
CVE-2017-5453
CVE-2017-5452
CVE-2017-5463
CVE-2017-5450
CVE-2017-5456
CVE-2017-5455
CVE-2017-5448
CVE-2017-5429
CVE-2017-5430
CVE-2017-5467
CVE-2017-5462
CVE-2017-5451
CVE-2017-5449
CVE-2017-5445
CVE-2017-5469
CVE-2017-5454
CVE-2017-5465
CVE-2017-5447
CVE-2017-5446
CVE-2017-5444
CVE-2017-5443
CVE-2017-5464
CVE-2017-5442
CVE-2017-5441
CVE-2017-5440
CVE-2017-5439
CVE-2017-5438
CVE-2017-5460
CVE-2017-5432
CVE-2017-5434
CVE-2017-5466
CVE-2017-5459
CVE-2017-5436
CVE-2017-5435
CVE-2017-5433
CVE-2017-5461
CVE-2016-10197
CVE-2016-10196
CVE-2016-10195
CVE-2016-6354


Odkaz na originál