Více zranitelností v Mozille Firefox a Mozilla Firefox ESR

Popis

V Firefoxu a Firefoxu ESR bylo nalezeno několik závažných chyb. Škodlivé uživatele mohou tyto chyby zabezpečení zneužít k získání oprávnění, způsobení odmítnutí služby, čtení a psaní místních souborů, spoofování uživatelského rozhraní a obejití bezpečnostních omezení.

Níže je uveden kompletní seznam chyb zabezpečení:

1. Zranitelnost po použití bez poškození související se zničením využití uzlů při regeneraci stromů může být vzdáleně využívána, aby způsobila odmítnutí služby;
2. Bezproblémová po použití v souvislosti s opětovným načtením dokumendu může být vzdáleně využívána k odmítnutí služby;
3. Bezproblémová pohotovost v souvislosti s operacemi řízení videa s prvky stopy může být zneužita k odmítnutí služby;
4. Zranitelnost po použití zdarma týkající se posluchačů prohlížečů obsahu může být vzdáleně využívána k odmítnutí služby;
5. Bezpečné použití po selhání související s interakcí uživatele s editorem vstupních metod (IME) může být vzdáleně využíváno, aby způsobilo odmítnutí služby;
6. Citlivost na čtení mimo objekt, která se vztahuje k objektům ImageInfo v WebGL, může být vzdáleně využívána k odmítnutí služby;
7. Nespecifikovaná chyba zabezpečení v Instalačním programu Firefoxu může být vzdáleně využívána prostřednictvím speciálně vytvořených dll souborů uložených ve stejném adresáři s instalátorem, zatímco běží k získání oprávnění;
8. Bezpečné použití a bezproblémové použití v souvislosti s protokolováním chyb XHR záhlaví lze vzdáleně využít k tomu, že způsobí odmítnutí služby;
9. Bezproblémové použití v souvislosti s IndexedDB lze vzdáleně využívat k odmítnutí služby;
10. Více zranitelností v knihovně Graphite 2 lze vzdáleně využívat k odmítnutí služby;
11. Kritická chyba v kodéru Opus může být vzdáleně využita k odmítnutí služby;
12. Nesprávná manipulace s parametrem zpětného volání v programu Mozilla Windows Updater a Maintenance Service lze vzdáleně využít pomocí speciálně navržené cesty k získání oprávnění, čtení a zápisu místních souborů;
13. Nesprávná správa souborů pro dočasný adresář vytvořená službou helper.exe aplikace Mozilla Maintenance Service může být vzdáleně využívána k získání oprávnění, čtení a zápisu místních souborů;
14. Nesprávné zacházení s kanadskými Syllabikami a dalšími bloky Unicode může být vzdáleně využíváno ke zneužití domény;
15. Nesprávné odstranění části uživatelských jmen a hesla adres URL zobrazené na adresním řádku lze vzdáleně využít k spoofování uživatelského rozhraní.
16. Nesprávné zacházení s dlouhými názvy souborů při stahování "Označení webu" lze vzdáleně využít k vynechání bezpečnostních omezení;
17. Nesprávná manipulace s obsahem updater.ini v Mozilla Windows Updater lze vzdáleně využít k čtení a zápisu lokálních souborů;
18. Nespecifikovaná chyba zabezpečení služby Mozilla Maintenance Service může být vzdáleně využívána k získání oprávnění a psaní místních souborů;
19. Zranitelnost služby Mozilla Maintenance Service, která umožňuje neoprávněnému uživateli číst 32 libovolných souborů, může být vzdáleně využívána k vynechání bezpečnostních omezení (ochrana systému před uživateli bez jakýchkoli oprávnění);
20. Kvůli chybám zabezpečení paměti může dojít k vzdálenému zneužití více chyb zabezpečení, které se vyskytují v důsledku poškození paměti.

---

Technické údaje

Zranitelnosti 1-14 souvisejí s programem Mozilla Firefox ESR.

Všechny chyby zabezpečení jsou související s aplikací Mozilla Firefox.

Poznámka: Tato zranitelná místa nemají veřejný rating CVSS, takže je možné měnit hodnocení v čase.

Poznámka: V tuto chvíli Mozilla právě rezervovala čísla CVE pro tyto chyby zabezpečení. Informace lze brzy změnit.

Oficiální doporučení

• MFSA 2017-16

• MFSA 2017-15

seznam CVE

Zobrazit více

Zjistěte statistiky zranitelností šířících se ve vaší oblasti statistics.securelist.com