KLA11206
Více zranitelností v Mozille Firefox a Firefoxu ESR

V Mozilla Firefox a Mozilla Firefox ESR bylo nalezeno několik závažných chyb. Uživatelé se zlými úmysly mohou tyto chyby zabezpečení zneužít, aby způsobili odmítnutí služby, spoofing uživatelského rozhraní, získání citlivých informací, spuštění libovolného kódu, provádění skriptovacích útoků mezi počítači a obejití bezpečnostních omezení.

Níže je uveden kompletní seznam chyb zabezpečení:

1. Chyba zabezpečení přetečení vyrovnávací paměti může být vzdáleně využívána pomocí manipulace se SVG animatedPathSegList skriptem za účelem odmítnutí služby;
2. Zranitelnost po použití může být zneužita vzdáleně, aby způsobila odmítnutí služby;
3. Nespecifikovaná zranitelnost v parametrech IPC messegas může být vzdáleně využívána k odmítnutí služby;
4. Nespecifikovaná zranitelnost v připojeních WebRTC může být vzdáleně využívána, aby způsobila odmítnutí služby;
5. Nespecifikovaná chyba zabezpečení v nástroji fetch () API může být vzdáleně využívána k vyloučení bezpečnostních omezení;
6. Nespecifikovaná chyba zabezpečení API Find for WebExtensions může být vzdáleně využívána k získání citlivých informací;
7. Nespecifikovaná chyba zabezpečení související se změnou předvolby app.support.baseURL může být vzdáleně využívána k útoku prostřednictvím skriptování na webu (XSS).
8. Nespecifikovaná chyba zabezpečení ve WebExtension může být vzdáleně využívána k vyloučení bezpečnostních omezení;
9. Nespecifikovaná zranitelnost v nástrojích WebExtensions může být vzdáleně využívána k provádění útoků prostřednictvím skriptování mezi stránkami (XSS).
10. Nespecifikovaná chyba související s vytvořením sdíleného pracovníka z data: adresa URL může být vzdáleně využívána k vyloučení bezpečnostních omezení;
11. Zranitelnost spoofingu související s otevřením škodlivého webu v uživatelské kartě Android s extrémně dlouhým názvem domény může být vzdáleně využívána ke zneužití uživatelského rozhraní.
12. Nespecifikovaná chyba související s protokolem moz-icon: lze vzdáleně využít k získání citlivých informací;
13. Nespecifikovaná chyba zabezpečení v oznámeních Push API může být vzdáleně využívána, aby způsobila odmítnutí služby;
14. Nespecifikovaná chyba týkající se oprávnění Media Capture a Streams API může být vzdáleně využívána ke zneužití uživatelského rozhraní;
15. Nespecifikovaná chyba související s adresami URL pomocí javascript: může být vzdáleně využívána k útoku prostřednictvím skriptování mezi stránkami (XSS);
16. Chyby zabezpečení pro více poškození paměti lze vzdáleně využít k provádění libovolného kódu;
17. Celočíselná chyba přetečení související s konverzí textu na některé znaky Unicode může být vzdáleně využívána k odmítnutí služby.

Technické údaje

Chyby zabezpečení (2), (6) – (15) se týkají pouze Mozilla Firefoxu.

Chyba zabezpečení (17) ovlivňuje pouze Mozilla Firefox ESR.

Pozn .: Tato zranitelnost nemá žádný veřejný rating CVSS, takže hodnocení může být změněno v čase.

Mozilla Firefox verze dříve než 59
Mozilla Firefox verze ESR dříve než 52,7

Aktualizace na nejnovější verzi
Stáhněte si Mozilla Firefox ESR
Stáhněte si Mozilla Firefox

Mozilla Foundation Security Advisory 2018-06
Mozilla Foundation Security Advisory 2018-07

CVE-2018-2145
CVE-2018-2144
CVE-2018-2125
CVE-2018-2126
CVE-2018-2143
CVE-2018-2142
CVE-2018-2141
CVE-2018-2140
CVE-2018-2138
CVE-2018-2137
CVE-2018-2136
CVE-2018-2135
CVE-2018-2134
CVE-2018-2133
CVE-2018-2132
CVE-2018-2131
CVE-2018-2130
CVE-2018-2129
CVE-2018-2128
CVE-2018-2127