Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv.

Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.

KLA11246
Více zranitelností v Mozille Firefoxu a Firefoxu ESR
Aktualizováno: 05/10/2018
CVSS
?
7.5
Detekováno
?
05/09/2018
Míra zranitelnosti
?
Kritická
Popis

V Mozille Firefox bylo nalezeno několik závažných chyb. Škodlivé uživatele mohou tyto chyby zabezpečení využít, aby získaly citlivé informace, způsobily odmítnutí služby, získaly oprávnění, spouštěly libovolný kód, prováděly útoky XSS a obcházeli bezpečnostní omezení.

Níže je uveden kompletní seznam chyb zabezpečení:

  1. Bezproblémová po použití s ​​SVG animacemi a klipovými cestami může být vzdáleně využívána k provádění libovolného kódu nebo způsobení odmítnutí služby;
  2. Bezkonkurenční zranitelnost pomocí animací SVG a textových cest lze vzdáleně využít k provádění libovolného kódu nebo způsobení odmítnutí služby;
  3. Záchranná chyba stejného původu v Prohlížeči PDF lze vzdáleně využít k provádění libovolného kódu;
  4. Chyba zabezpečení pro vkládání kódu v aplikaci PDF Viewer lze vzdáleně využít k provádění libovolného kódu;
  5. Celkový počet přetečení a překročení hranic v Skia lze vzdáleně využít k odmítnutí služby.
  6. Použití neinicializované paměti v kodéru WebRTC lze vzdáleně využít k odmítnutí služby;
  7. Kvůli získání citlivých informací lze vzdáleně využívat chybu zabezpečení úniku informací v WebExtencích;
  8. Omezená čitelnost načtená ve zprávách websocket se smíšeným obsahem může být vzdáleně využívána k odmítnutí služby;
  9. Nespecifikovaná chyba zabezpečení ve vyrovnávací paměti JavaScript Bytecode Cache může být vzdáleně využívána k získání oprávnění;
  10. Nespecifikovaná zranitelnost v CSP může být vzdáleně využívána k provádění skriptovacích útoků mezi jednotlivými servery;
  11. Zabezpečení vzdáleného povolení v WebExtension lze vzdáleně využít k vynechání bezpečnostních omezení;
  12. Nespecifikovaná chyba zabezpečení v ladicím programu JavaScript může být vzdáleně využívána k provádění nespecifikovaných útoků;
  13. Nespecifikovaná chyba zabezpečení může být vzdáleně využívána k vyloučení bezpečnostních omezení;
  14. Nespecifikovaná chyba zabezpečení může být vzdáleně využívána k provedení libovolného kódu;
  15. Nespecifikovaná chyba zabezpečení může být vzdáleně využívána k získání citlivých informací.
  16. Nespecifikovaná chyba zabezpečení může být vzdáleně využívána k provedení libovolného kódu;
  17. Nespecifikovaná zranitelnost v CSP může být vzdáleně využívána k vyloučení bezpečnostních omezení;
  18. Zranitelnost vkládání skriptů v programu JSON Viewer lze vzdáleně využít k získání citlivých informací.
  19. Chyba zabezpečení přetečení vyrovnávací paměti v XSLT lze vzdáleně využít, což způsobuje odmítnutí služby.
  20. Chyba zabezpečení přetečení vyrovnávací paměti může být vzdáleně využívána pomocí konverze UTF8 na řetězec Unicode v jazyce JavaScript s extrémně velkým množstvím dat, které způsobují odmítnutí služby.
  21. Zranitelnost týkající se režimu chráněného bleskem může být vzdáleně využívána k provádění nespecifikovaných útoků;
  22. Bezplatná zranitelnost v WebGL může být vzdáleně využívána k odmítnutí služby;

Technické údaje

Chyby zabezpečení (6) – (15) a (17) – (19), (21), (22) ovlivňují pouze Mozilla Firefox;

Chyba zabezpečení (20) ovlivňuje pouze Mozilla Firefox ESR;

Chyba zabezpečení (16) ovlivňuje pouze uživatele systému Windows 10 se spuštěnou aktualizací v dubnu 2018 nebo novější. Neovlivňuje ostatní uživatele systému Windows nebo jiné operační systémy.

Poznámka: V tuto chvíli Mozilla právě rezervovala čísla CVE pro tyto chyby zabezpečení. Informace lze brzy změnit.

Zasažené produkty

Mozilla Firefox starší než 60 let
Mozilla Firefox ESR starší než 52,8

Řešení

Aktualizace na nejnovější verzi
Stáhněte si Mozilla Firefox ESR
Stáhněte si Mozilla Firefox

Oficiální doporučení

Mozilla Foundation Security Advisory 2018-11
Mozilla Foundation Security Advisory 2018-12

Dopad
?
ACE 
[?]

OSI 
[?]

XSSCSS 
[?]

SB 
[?]

PE 
[?]

DoS 
[?]
Související produkty
Mozilla Firefox ESR
Mozilla Firefox
CVE-IDS
?

CVE-2018-5150
CVE-2018-5151
CVE-2018-5182
CVE-2018-5181
CVE-2018-5180
CVE-2018-5165
CVE-2018-5177
CVE-2018-5176
CVE-2018-5175
CVE-2018-5174
CVE-2018-5173
CVE-2018-5172
CVE-2018-5169
CVE-2018-5168
CVE-2018-5167
CVE-2018-5166
CVE-2018-5164
CVE-2018-5163
CVE-2018-5153
CVE-2018-5152
CVE-2018-5160
CVE-2018-5159
CVE-2018-5158
CVE-2018-5157
CVE-2018-5155
CVE-2018-5154


Odkaz na originál