Více zranitelností v Mozille Firefox a Firefoxu ESR

Popis

V Firefoxu a Firefoxu ESR bylo nalezeno několik závažných chyb. Škodlivé uživatele mohou tyto chyby zabezpečení zneužít k odmítnutí služby, obcházet bezpečnostní omezení, spoofovat uživatelské rozhraní, provádět skriptování mezi různými servery, získávat oprávnění a spouštět libovolný kód.

1. Zranitelnost po použití může být zneužita vzdáleně, aby způsobila odmítnutí služby;
2. Zranitelnost v časopise Resource Timing API může být vzdáleně využívána prostřednictvím chyby služby k vyloučení bezpečnostních omezení;
3. Zranitelnost v bezpečnostním obalu může být vzdáleně využívána prostřednictvím zastaralého mechanismu exponovaných mechanismů, aby se zabránilo bezpečnostním omezením.
4. Chyba při vykreslování znaku "i" v adresáři cat by měla být vzdáleně využívána prostřednictvím padělání názvů domén k spoof uživatelskému rozhraní;
5. Chyba týkající se vykreslování některých písem může být vzdáleně využívána k vyloučení bezpečnostních omezení;
6. Chyba zabezpečení týkající se data: načítání adres URL lze vzdáleně využívat prostřednictvím zásad zabezpečení obsahu k provádění skriptování mezi webovými stránkami.
7. Zranitelnost v zabezpečeném smíšené blokaci může být vzdáleně využívána k vynechání bezpečnostních omezení;
8. Zranitelnost ve zprávě o zdravotním stavu aplikace Firefox může být místně vykořisťována prostřednictvím spustitelného souboru "pingsender", aby získal výsady;
9. Zranitelnost v SVG může být vzdáleně využívána nastavením souborů cookie k vynechání bezpečnostních omezení;
10. Zranitelnost v Punycode může být vzdáleně využívána ke zneužití uživatelského rozhraní.
11. Chyba týkající se javascriptu: Vkládání adres URL lze využít k provádění skriptování v rámci vlastního webu;
12. Chyba zabezpečení týkající se atributu Referrer Policy lze využít prostřednictvím požadavků sítě k vynechání bezpečnostních omezení;
13. Mnoho zranitelností poškození paměti, ke kterým dochází kvůli bezpečnostním chybám paměti, lze vzdáleně využít k provádění libovolného kódu;

---

Technické údaje

Chyba zabezpečení (8) ovlivňuje pouze Firefox pro OS X a Linux. Jiné operační systémy nejsou ovlivněny.

Chyba zabezpečení (13) ovlivňuje pouze Mozilla Firefox 56 a Firefox ESR 52.4.

Chyba zabezpečení (7) nastává při přesměrování z HTTPS na HTTP

Zranitelnosti 1,2,13 souvisejí s programem Mozilla Firefox ESR.

Veškeré chyby zabezpečení se vztahují k programu Mozilla Firefox.

Pozn .: Tato zranitelná místa nemají veřejný rating CVSS, takže je možné měnit jeho hodnocení v čase.

Oficiální doporučení

• Mozilla Foundation Security Advisory 2017-24

• Mozilla Foundation Security Advisory 2017-25

Související produkty

• Mozilla-Firefox-ESR
• Mozilla-Firefox

seznam CVE

Zobrazit více

Zjistěte statistiky zranitelností šířících se ve vaší oblasti statistics.securelist.com