BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER. Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.
Şunlar için çözümler:
Ev Ürünleri
Küçük Ölçekli İşletme
Orta Ölçekli İşletme
Büyük Ölçekli İşletme
Zayıf noktalar Tehditler
Ana sayfa Zayıf noktalar

Mozilla Firefox ve Firefox ESR'deki birden fazla güvenlik açığı

Kaspersky ID:
KLA10723
Bulunma tarihi:
12/15/2015
Yüklendi:
07/05/2018

Açıklama

Mozilla Firefox'ta birden fazla ciddi güvenlik açığı bulundu. Kötü amaçlı kullanıcılar bu güvenlik açıklarını kullanıcı arabiriminin sahteciliğine neden olabilir, hizmet reddine neden olabilir, güvenlik kısıtlamalarını atlayabilir, ayrıcalık kazanabilir, isteğe bağlı kod çalıştırabilir veya hassas bilgiler edinebilir.

Aşağıda güvenlik açıklarının tam listesi

  1. Bellek güvenliği hataları, keyfi kod yürütmek için uzaktan kullanılabilir;
  2. JavaScript motorunda çoklu uygulama hataları, isteğe bağlı kod çalıştırmak veya hizmet reddine neden olmak için özel olarak tasarlanmış bir JavaScript ile uzaktan kullanılabilir.
  3. Bilinmeyen bir güvenlik açığı, aynı kökenli politikayı atlamak ve hassas bilgiler elde etmek için özel olarak tasarlanmış bir web sayfası aracılığıyla uzaktan kullanılabilir.
  4. Uygun olmayan çerez sembolleri saklamak, hassas bilgiler elde etmek için özel olarak tasarlanmış sembollerle uzaktan kullanılabilir.
  5. WebRTC'deki boşluksuz kullanımı güvenlik açığı isteğe bağlı kod çalıştırmak için uzaktan kullanılabilir;
  6. Tamsayı taşması, isteğe bağlı kod yürütmek için özel olarak tasarlanmış grafik işlemleri ile uzaktan kullanılabilir;
  7. Hatalı olaylarda bilinmeyen bir güvenlik açığı, hassas bilgileri elde etmek için uzaktan kullanılabilir.
  8. URI'da uygunsuz sembollerin kullanımı, kullanıcı arayüzünün taklit edilmesi için özel olarak tasarlanmış bir URI aracılığıyla uzaktan kullanılabilir.
  9. Tamsayı yetersizliği, hizmet reddine neden olmak için uzaktan kullanılabilir.
  10. Kullanılmayan ve desteklenmeyen kütüphaneler kullanılabilir; (Gnome Linux)
  11. Birden fazla arabellek taşması, hizmet reddine neden olmak için uzaktan kullanılabilir.
  12. Alt hizmet, hizmet reddine neden olmak veya hassas bilgiler elde etmek için uzaktan kullanılabilir.
  13. Tamsayı taşması, isteğe bağlı kod yürütmek için özel olarak tasarlanmış bir MP4 aracılığıyla uzaktan kullanılabilir; (64-bit)
  14. Tamsayı taşması güvenlik açığı, isteğe bağlı kod çalıştırmak için özel olarak tasarlanmış bir MP4 dosyası aracılığıyla uzaktan kullanılabilir;
  15. WebExtension API'larındaki bilinmeyen bir güvenlik açığı, ayrıcalık elde etmek veya hassas bilgiler elde etmek için uzaktan kullanılabilir.
  16. Güvenlik kısıtlamalarını atlamak ve hassas uyum sağlamak için özel olarak tasarlanmış bir URI aracılığıyla bilinmeyen bir güvenlik açığı uzaktan kullanılabilir.

Teknik detaylar

Güvenlik açığı (2) , paketlenmemiş nesneler ve özellik depolamasıyla ilgili uygulama hatasıyla ilgilidir. Bu güvenlik açığı, bazı Javascript değişkenleri atama sırasında tetiklenebilir.

Perfomance.getEntries () bir sayfayı barındırmak için iframe ile kullanılırsa Güvenlik Açığı (3) tetiklenebilir. Bu güvenlik açığı aşağıdaki çapraz kaynaklı URL'lere yol açabilir (Komut dosyasıyla geriye doğru gezinme, içerik orijinal yerine yeniden yönlendirilen konum için tarayıcı önbelleğinden alınır)

Güvenlik açığı (4) , RFC6265'i ihlal eden çerezde dikey sekme için ASCII kodu 11'in saklanmasından kaynaklanmıştır. Bu güvenlik açığı, sunucu tarafında çerez tanımlama işleminin yanlış olmasına ve bunun sonucunda çerez verilerinin ayarlanmasına ve okunmasına neden olabilir.

WebRTC'nin, başka bir WebRTC işlevi kapatıldıktan sonra veri kanalının açık olduğuna güvenmesine neden olan zamanlama sorunları ile ilgili güvenlik açığı (5) .

Güvenlik açığı (6) , mozilla :: layers :: BufferTextureClient :: AllocateForSurface öğesinde son derece büyük boyutlarda dokular ayrılırken ortaya çıkar.

Güvenlik açığı (7) , web çalışanlarındaki hata olayları aracılığıyla bilgileri sızdırıyor. Bu bilgi, kimlik doğrulama jetonlarını ve diğer verileri kazanmak için kullanılabilir.

Veri'de yanlış '#' sembolü işlemenin neden olduğu güvenlik açığı (8) : Taklit URI'ye yol açabilen URI.

Güvenlik açığı (9) , yalnızca tek bir bayt veya sıkıştırılmış arabellek boyutunun yanlış hesaplanmasıyla birlikte HTTP2 PushPromise çerçevesiyle hatalı biçimlendirilmiş HTTP2 başlık çerçevesiyle tetiklenebilir.

Güvenlik açığı (10) , dosya seçim diyalogu için küçük resimler oluşturmak üzere sistemin gdk-pixbuf kütüphanesinin kullanılmasından kaynaklanır. Bu kütüphanede desteklenen bazı görüntü kod çözücüleri (Jasper ve TGA) korunmamış ve savunmasızdır. Bu güvenlik açığı sadece Gnome ile Linux sistemlerini etkiler.

DirectWriteFontInfo :: LoadFontFamilyData, XDRBuffer :: grow ve nsDeque :: GrowCapacity içindeki OOM ile ilgili Güvenlik Açığı (11) .

RTPReceiverVideo :: ParseRtpPacket ile ilgili Güvenlik Açığı (12) .

MPEG4Extractor :: readMetaData ile ilgili Güvenlik Açığı (13) .

Güvenlik açığı (14) libstagefright ile ilişkilidir ve Metadata :: setData'da MP4 başlık meta verilerinin ayrıştırılması sırasında tetiklenebilir.

Güvenlik açığı (16) verilerle tetiklenebilir : ve görünüm kaynağı: URI'leri ve siteler arası URL'leri ve yerel dosyaları okumasına neden olabilir.

Orijinal öneriler

CVE Listesi

Daha fazlasını okuyun

Bölgenizde yayılan güvenlik açıklarının istatistiklerini öğrenin statistics.securelist.com

Bu güvenlik açığının açıklamasında bir tutarsızlık mı tespit ettiniz? Bize bildirin!
Yeni Kaspersky!
Dijital hayatınız güçlü korumayı hak ediyor!
Daha fazla bilgi edin
Kaspersky IT Security Calculator
Daha fazla bilgi edin
Related articles
11 July 2024
Securelist
When spear phishing met mass phishing
09 July 2024
Securelist
Developing and prioritizing a detection engineering backlog based on MITRE ATT&CK
08 July 2024
Securelist
CloudSorcerer – A new APT targeting Russian government entities
25 June 2024
Securelist
Cybersecurity in the SMB space — a growing threat
24 June 2024
Securelist
XZ backdoor: Hook analysis
18 June 2024
Securelist
Analysis of user password strength
Bu güvenlik açığının açıklamasında bir tutarsızlık mı tespit ettiniz?
Eğer yeni bir Tehdit ya da Güvenlik Açığı tespit ettiyseniz lütfen e-posta ile bize bildirin:
newvirus@kaspersky.com
Yeni bir Tehdit ya da Güvenlik Açığı mı tespit ettiniz?
Eğer yeni bir Tehdit ya da Güvenlik Açığı tespit ettiyseniz lütfen e-posta ile bize bildirin:
newvirus@kaspersky.com
Şunlar için çözümler
Ev Ürünleri
Küçük Ölçekli İşletme
Orta Ölçekli İşletme
Büyük Ölçekli İşletme
Select language
Sorting
Kaspersky ID
Güvenlik açığı
Detect date
Şiddet
Confirm changes?
Your message has been sent successfully.