Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv.

Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.

KLA11135
Více zranitelností v Mozille Firefox a Firefoxu ESR
Aktualizováno: 11/17/2017
Detekováno
?
11/14/2017
Míra zranitelnosti
?
Kritická
Popis

V Firefoxu a Firefoxu ESR bylo nalezeno několik závažných chyb. Škodlivé uživatele mohou tyto chyby zabezpečení zneužít k odmítnutí služby, obcházet bezpečnostní omezení, spoofovat uživatelské rozhraní, provádět skriptování mezi různými servery, získávat oprávnění a spouštět libovolný kód.

  1. Zranitelnost po použití může být zneužita vzdáleně, aby způsobila odmítnutí služby;
  2. Zranitelnost v časopise Resource Timing API může být vzdáleně využívána prostřednictvím chyby služby k vyloučení bezpečnostních omezení;
  3. Zranitelnost v bezpečnostním obalu může být vzdáleně využívána prostřednictvím zastaralého mechanismu exponovaných mechanismů, aby se zabránilo bezpečnostním omezením.
  4. Chyba při vykreslování znaku "i" v adresáři cat by měla být vzdáleně využívána prostřednictvím padělání názvů domén k spoof uživatelskému rozhraní;
  5. Chyba týkající se vykreslování některých písem může být vzdáleně využívána k vyloučení bezpečnostních omezení;
  6. Chyba zabezpečení týkající se data: načítání adres URL lze vzdáleně využívat prostřednictvím zásad zabezpečení obsahu k provádění skriptování mezi webovými stránkami.
  7. Zranitelnost v zabezpečeném smíšené blokaci může být vzdáleně využívána k vynechání bezpečnostních omezení;
  8. Zranitelnost ve zprávě o zdravotním stavu aplikace Firefox může být místně vykořisťována prostřednictvím spustitelného souboru "pingsender", aby získal výsady;
  9. Zranitelnost v SVG může být vzdáleně využívána nastavením souborů cookie k vynechání bezpečnostních omezení;
  10. Zranitelnost v Punycode může být vzdáleně využívána ke zneužití uživatelského rozhraní.
  11. Chyba týkající se javascriptu: Vkládání adres URL lze využít k provádění skriptování v rámci vlastního webu;
  12. Chyba zabezpečení týkající se atributu Referrer Policy lze využít prostřednictvím požadavků sítě k vynechání bezpečnostních omezení;
  13. Mnoho zranitelností poškození paměti, ke kterým dochází kvůli bezpečnostním chybám paměti, lze vzdáleně využít k provádění libovolného kódu;

Technické údaje

Chyba zabezpečení (8) ovlivňuje pouze Firefox pro OS X a Linux. Jiné operační systémy nejsou ovlivněny.

Chyba zabezpečení (13) ovlivňuje pouze Mozilla Firefox 56 a Firefox ESR 52.4.

Chyba zabezpečení (7) nastává při přesměrování z HTTPS na HTTP

Zranitelnosti 1,2,13 souvisejí s programem Mozilla Firefox ESR.

Veškeré chyby zabezpečení se vztahují k programu Mozilla Firefox.

Pozn .: Tato zranitelná místa nemají veřejný rating CVSS, takže je možné měnit jeho hodnocení v čase.

Zasažené produkty

Mozilla Firefox verze starší než 57
Mozilla Firefox verze ESR starší než 52,5

Řešení

Aktualizace na nejnovější verzi
Stáhněte si Mozilla Firefox

Oficiální doporučení

Mozilla Foundation Security Advisory 2017-24
Mozilla Foundation Security Advisory 2017-25

Dopad
?
SUI 
[?]

ACE 
[?]

XSSCSS 
[?]

SB 
[?]

PE 
[?]

DoS 
[?]
Související produkty
Mozilla Firefox ESR
Mozilla Firefox
CVE-IDS
?

CVE-2017-7826
CVE-2017-7827
CVE-2017-7842
CVE-2017-7840
CVE-2017-7839
CVE-2017-7838
CVE-2017-7837
CVE-2017-7836
CVE-2017-7835
CVE-2017-7834
CVE-2017-7833
CVE-2017-7832
CVE-2017-7831
CVE-2017-7830
CVE-2017-7828


Odkaz na originál