Více zranitelností v Mozille Firefox a Firefoxu ESR

Popis

V Mozilla Firefox a Mozilla Firefox ESR bylo nalezeno několik závažných chyb. Uživatelé se zlými úmysly mohou tyto chyby zabezpečení zneužít, aby způsobili odmítnutí služby, spoofing uživatelského rozhraní, získání citlivých informací, spuštění libovolného kódu, provádění skriptovacích útoků mezi počítači a obejití bezpečnostních omezení.

Níže je uveden kompletní seznam chyb zabezpečení:

1. Chyba zabezpečení přetečení vyrovnávací paměti může být vzdáleně využívána pomocí manipulace se SVG animatedPathSegList skriptem za účelem odmítnutí služby;
2. Zranitelnost po použití může být zneužita vzdáleně, aby způsobila odmítnutí služby;
3. Nespecifikovaná zranitelnost v parametrech IPC messegas může být vzdáleně využívána k odmítnutí služby;
4. Nespecifikovaná zranitelnost v připojeních WebRTC může být vzdáleně využívána, aby způsobila odmítnutí služby;
5. Nespecifikovaná chyba zabezpečení v nástroji fetch () API může být vzdáleně využívána k vyloučení bezpečnostních omezení;
6. Nespecifikovaná chyba zabezpečení API Find for WebExtensions může být vzdáleně využívána k získání citlivých informací;
7. Nespecifikovaná chyba zabezpečení související se změnou předvolby app.support.baseURL může být vzdáleně využívána k útoku prostřednictvím skriptování na webu (XSS).
8. Nespecifikovaná chyba zabezpečení ve WebExtension může být vzdáleně využívána k vyloučení bezpečnostních omezení;
9. Nespecifikovaná zranitelnost v nástrojích WebExtensions může být vzdáleně využívána k provádění útoků prostřednictvím skriptování mezi stránkami (XSS).
10. Nespecifikovaná chyba související s vytvořením sdíleného pracovníka z data: adresa URL může být vzdáleně využívána k vyloučení bezpečnostních omezení;
11. Zranitelnost spoofingu související s otevřením škodlivého webu v uživatelské kartě Android s extrémně dlouhým názvem domény může být vzdáleně využívána ke zneužití uživatelského rozhraní.
12. Nespecifikovaná chyba související s protokolem moz-icon: lze vzdáleně využít k získání citlivých informací;
13. Nespecifikovaná chyba zabezpečení v oznámeních Push API může být vzdáleně využívána, aby způsobila odmítnutí služby;
14. Nespecifikovaná chyba týkající se oprávnění Media Capture a Streams API může být vzdáleně využívána ke zneužití uživatelského rozhraní;
15. Nespecifikovaná chyba související s adresami URL pomocí javascript: může být vzdáleně využívána k útoku prostřednictvím skriptování mezi stránkami (XSS);
16. Chyby zabezpečení pro více poškození paměti lze vzdáleně využít k provádění libovolného kódu;
17. Celočíselná chyba přetečení související s konverzí textu na některé znaky Unicode může být vzdáleně využívána k odmítnutí služby.

---

Technické údaje

Chyby zabezpečení (2), (6) – (15) se týkají pouze Mozilla Firefoxu.

Chyba zabezpečení (17) ovlivňuje pouze Mozilla Firefox ESR.

Pozn .: Tato zranitelnost nemá žádný veřejný rating CVSS, takže hodnocení může být změněno v čase.

Oficiální doporučení

• Mozilla Foundation Security Advisory 2018-06

• Mozilla Foundation Security Advisory 2018-07

Související produkty

• Mozilla-Firefox-ESR
• Mozilla-Firefox

seznam CVE

Zobrazit více

Zjistěte statistiky zranitelností šířících se ve vaší oblasti statistics.securelist.com