Více zranitelností v Mozille Firefox a Firefoxu ESR

Popis

V Mozilla Firefox a Mozilla Firefox ESR bylo nalezeno několik závažných chyb. Škodlivé uživatelé mohou tyto chyby zabezpečení zneužít k odmítnutí služby, spoofovat uživatelské rozhraní, získávat citlivé informace, spouštět libovolný kód, provádět skriptovací útoky mezi jednotlivými servery, obcházet bezpečnostní omezení a získávat oprávnění.

1. Mnohé zranitelnosti po použití zdarma mohou být vzdáleně využívány, aby způsobily odmítnutí služby;
2. Bezkonkurenční zranitelnost v Web Workers může být vzdáleně využita k odmítnutí služby;
3. Vícenásobné zranitelnosti přetečení haldy ve WebAssembly může být vzdáleně využíváno, aby způsobilo odmítnutí služby;
4. Celoevropská zranitelnost v knihovně Skia může být vzdáleně využívána k odmítnutí služby;
5. Nespecifikovaná zranitelnost ve WebExtencích může být vzdáleně využívána k vynechání bezpečnostních omezení;
6. Nespecifikovaná chyba zabezpečení ve vývojových nástrojích lze vzdáleně využít k získání citlivých informací.
7. Nespecifikovaná zranitelnost při tisku může být vzdáleně využívána k vyloučení bezpečnostních omezení;
8. Původní narušení atributu atributu Blob URL lze vzdáleně využít k získání citlivých informací;
9. Nespecifikovaná chyba zabezpečení může být vzdáleně využívána k získání citlivých informací.
10. Nespecifikovaná chyba zabezpečení může být zneužita vzdáleně pro spoofování uživatelského rozhraní.
11. Nespecifikovaná chyba zabezpečení může být vzdáleně využívána prostřednictvím speciálně formátované adresy URL, aby se zabalilo uživatelské rozhraní.
12. Nesprávné uplatnění požadavků v panelech Vývojářských nástrojů rozšíření lze využít vzdáleně, aby bylo možné získat výhody
13. Nesprávné vynucení požadavku ve funkci browser.identity.launchWebAuthFlow může být vzdáleně využíváno k získání privilegií;
14. Nesprávné použití změněného souboru cookie HttpOnly lze vzdáleně využít k vynechání bezpečnostních omezení;
15. Nespecifikovaná chyba zabezpečení může být vzdáleně využívána prostřednictvím speciálně vytvořeného požadavku na síťové pozadí k získání citlivých informací;
16. Nesprávné vynucení požadavků v WebExtensions může být vzdáleně využíváno k vyloučení bezpečnostních omezení;
17. Nespecifikovaná chyba zabezpečení může být zneužita vzdáleně pomocí speciálně vytvořené adresy URL pro spoofování uživatelského rozhraní.
18. Nespecifikovaná chyba v aktivním streamu může být vzdáleně využívána k vyloučení bezpečnostních omezení;
19. Nespecifikovaná zranitelnost v pohledu čtenáře může být vzdáleně využívána k provádění útoků prostřednictvím skriptování mezi stránkami (XSS).
20. Nespecifikovaná chyba zabezpečení v adresním řádku může být vzdáleně využívána některými tibetskými znaky v několika fontech, aby se zabránilo uživatelskému rozhraní.
21. Potenciální celočíselná zranitelnost ve funkci DoCrypt WebCrypto lze vzdáleně využít k odmítnutí služby;
22. Chyby zabezpečení pro více poškození paměti lze vzdáleně využít k provádění libovolného kódu;

---

Technické údaje

Chyby zabezpečení (2) – (9), (11) – (16), (18), (19), (21) ovlivňují pouze Mozilla Firefox.

Chyby zabezpečení (10), (20) se týkají pouze OS X verze Mozilla Firefox.

Oficiální doporučení

• Mozilla Foundation Security Advisory 2018-02

• Mozilla Foundation Security Advisory 2018-03

Související produkty

• Mozilla-Firefox-ESR
• Mozilla-Firefox

seznam CVE

Zobrazit více

Zjistěte statistiky zranitelností šířících se ve vaší oblasti statistics.securelist.com