Více zranitelností v Mozille Firefoxu a Firefoxu ESR

Popis

V Mozille Firefox bylo nalezeno několik závažných chyb. Škodlivé uživatele mohou tyto chyby zabezpečení využít, aby získaly citlivé informace, způsobily odmítnutí služby, získaly oprávnění, spouštěly libovolný kód, prováděly útoky XSS a obcházeli bezpečnostní omezení.

Níže je uveden kompletní seznam chyb zabezpečení:

1. Bezproblémová po použití s ​​SVG animacemi a klipovými cestami může být vzdáleně využívána k provádění libovolného kódu nebo způsobení odmítnutí služby;
2. Bezkonkurenční zranitelnost pomocí animací SVG a textových cest lze vzdáleně využít k provádění libovolného kódu nebo způsobení odmítnutí služby;
3. Záchranná chyba stejného původu v Prohlížeči PDF lze vzdáleně využít k provádění libovolného kódu;
4. Chyba zabezpečení pro vkládání kódu v aplikaci PDF Viewer lze vzdáleně využít k provádění libovolného kódu;
5. Celkový počet přetečení a překročení hranic v Skia lze vzdáleně využít k odmítnutí služby.
6. Použití neinicializované paměti v kodéru WebRTC lze vzdáleně využít k odmítnutí služby;
7. Kvůli získání citlivých informací lze vzdáleně využívat chybu zabezpečení úniku informací v WebExtencích;
8. Omezená čitelnost načtená ve zprávách websocket se smíšeným obsahem může být vzdáleně využívána k odmítnutí služby;
9. Nespecifikovaná chyba zabezpečení ve vyrovnávací paměti JavaScript Bytecode Cache může být vzdáleně využívána k získání oprávnění;
10. Nespecifikovaná zranitelnost v CSP může být vzdáleně využívána k provádění skriptovacích útoků mezi jednotlivými servery;
11. Zabezpečení vzdáleného povolení v WebExtension lze vzdáleně využít k vynechání bezpečnostních omezení;
12. Nespecifikovaná chyba zabezpečení v ladicím programu JavaScript může být vzdáleně využívána k provádění nespecifikovaných útoků;
13. Nespecifikovaná chyba zabezpečení může být vzdáleně využívána k vyloučení bezpečnostních omezení;
14. Nespecifikovaná chyba zabezpečení může být vzdáleně využívána k provedení libovolného kódu;
15. Nespecifikovaná chyba zabezpečení může být vzdáleně využívána k získání citlivých informací.
16. Nespecifikovaná chyba zabezpečení může být vzdáleně využívána k provedení libovolného kódu;
17. Nespecifikovaná zranitelnost v CSP může být vzdáleně využívána k vyloučení bezpečnostních omezení;
18. Zranitelnost vkládání skriptů v programu JSON Viewer lze vzdáleně využít k získání citlivých informací.
19. Chyba zabezpečení přetečení vyrovnávací paměti v XSLT lze vzdáleně využít, což způsobuje odmítnutí služby.
20. Chyba zabezpečení přetečení vyrovnávací paměti může být vzdáleně využívána pomocí konverze UTF8 na řetězec Unicode v jazyce JavaScript s extrémně velkým množstvím dat, které způsobují odmítnutí služby.
21. Zranitelnost týkající se režimu chráněného bleskem může být vzdáleně využívána k provádění nespecifikovaných útoků;
22. Bezplatná zranitelnost v WebGL může být vzdáleně využívána k odmítnutí služby;

---

Technické údaje

Chyby zabezpečení (6) – (15) a (17) – (19), (21), (22) ovlivňují pouze Mozilla Firefox;

Chyba zabezpečení (20) ovlivňuje pouze Mozilla Firefox ESR;

Chyba zabezpečení (16) ovlivňuje pouze uživatele systému Windows 10 se spuštěnou aktualizací v dubnu 2018 nebo novější. Neovlivňuje ostatní uživatele systému Windows nebo jiné operační systémy.

Poznámka: V tuto chvíli Mozilla právě rezervovala čísla CVE pro tyto chyby zabezpečení. Informace lze brzy změnit.

Oficiální doporučení

• Mozilla Foundation Security Advisory 2018-11

• Mozilla Foundation Security Advisory 2018-12

seznam CVE

Zobrazit více

Zjistěte statistiky zranitelností šířících se ve vaší oblasti statistics.securelist.com