BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

KLA10822
Mozilla Firefox ve Firefox ESR'deki birden fazla güvenlik açığı
Yüklendi : 07/05/2018
Bulunma tarihi
?
06/07/2016
Şiddet
?
Kritik
Açıklama

Mozilla Firefox'ta birden fazla ciddi güvenlik açığı bulundu. Kötü amaçlı kullanıcılar, güvenlik açıklarını atlamak, keyfi kod yürütmek, ayrıcalıkları yükseltmek, hizmet reddine neden olmak, XSS yürütmek veya hassas bilgiler edinmek için bu güvenlik açıklarından yararlanabilir.

Aşağıda güvenlik açıklarının tam listesi:

  1. Bellek güvenliği hataları rasgele kod çalıştırmak için kullanılabilir;
  2. HTML5 parçalarının yanlış ayrıştırılması, hizmet reddine neden olmak için özel hazırlanmış web içeriği aracılığıyla uzaktan kullanılabilir.
  3. Belge nesne modelinin (DOM) yanlış silinmesi, hizmet reddine neden olmak için editör içinde oluşturulan özel hazırlanmış tablo öğeleri aracılığıyla kullanılabilir;
  4. Bilinmeyen bir güvenlik açığı, özel olarak oluşturulmuş <select> öğesi aracılığıyla adres çubuğunun içeriğini karıştırmak için uzaktan kullanılabilir.
  5. ANGLE grafik kitaplığındaki bilinmeyen bir güvenlik açığı, hizmet reddine (Windows) neden olmak için uzaktan kullanılabilir;
  6. Bilinmeyen bir güvenlik açığı, özel olarak oluşturulmuş URI verileri aracılığıyla, aynı kaynaklı ilke korumalarını atlamak için uzaktan kullanılabilir.
  7. Mozilla güncelleyicisindeki dosyaları yazmak için kilitli olmayan, ayrıcalıkları yükseltmek için özel olarak hazırlanmış bir uygulama aracılığıyla yerel olarak kullanılabilir (Windows);
  8. İzin isteklerinin uygun olmayan şekilde işlenmesi, coğrafi konum veya mikrofon erişimi gibi izinleri almak için özel hazırlanmış web sayfası aracılığıyla uzaktan kullanılabilir.
  9. Bilinmeyen bir güvenlik açığı, aldatma, tıklama ve hizmet reddine neden olan özel hazırlanmış isteklerle kullanılabilir.
  10. Bilinmeyen bir güvenlik açığı, bir bilginin açığa çıkmasına yönelik bir parmak izi saldırısı yoluyla kullanılabilir;
  11. Ağ eklentilerinin Java eklentisinde İçerik Güvenliği Politikası (CSP) ile kontrol edilmeden uygun şekilde aracılık edilmesi, XSS saldırısı gerçekleştirmek için özel hazırlanmış bir web sitesi aracılığıyla uzaktan kullanılabilir.

Teknik detaylar

HTML5 parçacıklarının bir <svg> düğümü altındaki gibi yabancı bir bağlamda hatalı ayrışmasının neden olduğu güvenlik açığı (2) .

Bazı WebGL gölgelendirme işlemleri sırasında bir diziye yazılırken hatalı boyut kontrolünün neden olduğu güvenlik açığı (5) .

Güvenlik açığı (6) ayarlamak için kullanılabilir   location.host değeri   keyfi bir dizeye.

Mozilla güncelleyicisinin bir MAR arşivinden çıkardığı dosyalar ile ilgili güvenlik açığı (7) . Bu dosyalar yazma için kilitlenmez ve güncelleyici çalışırken diğer işlemler tarafından üzerine yazılabilir.

Güvenlik açığından yararlanmak için (8) kötü amaçlı kullanıcının kısa zaman aralığında bir dizi izin vermesi gerekir. Sonuç olarak izin bildirimleri, yanlış izin isteği için simgeyi gösterebilir.

Güvenlik açığı (9) , eşleştirilen tam ekran ve imleç kilitleme istekleri, kapatma pencereleriyle birlikte yapıldığında kullanılabilir. Sonuç olarak, kullanıcı izni olmadan tam ekran penceresinde bir işaretçi kilidi oluşturulabilir ve tarayıcıyı sonlandırmadan iptal edilemez.

Güvenlik açığı (10), CSS sözde sınıflarının, yüklenen ancak devre dışı bırakılan eklentilerdeki bilgileri sızdırmasını sağlamak için web içeriği tarafından kullanılabileceğinden kaynaklanır. Kurulu eklentilerin tümünü açıklamak için kullanılabilir.

Etkilenmiş ürünler

Mozilla Firefox 47'den önceki sürümler
Mozilla Firefox ESR sürümleri 45.2'den önceki

Çözüm

En son sürüme güncelle
Firefox ESR'yi edinin
Firefox'u edinin

Orijinal öneriler

Mozilla Foundation Security Advisory 2016-50
Mozilla Foundation Security Advisory 2016-49
Mozilla Foundation Security Advisory 2016-55
Mozilla Foundation Security Advisory 2016-57
Mozilla Foundation Security Advisory 2016-56
Mozilla Foundation Security Advisory 2016-59
Mozilla Foundation Security Advisory 2016-58
Mozilla Foundation Security Advisory 2016-54
Mozilla Foundation Security Advisory 2016-60
Mozilla Foundation Security Advisory 2016-61
Mozilla Foundation Security Advisory 2016-53
Mozilla Foundation Security Advisory 2016-52
Mozilla Foundation Security Advisory 2016-51

Etkiler
?
ACE 
[?]

OSI 
[?]

XSSCSS 
[?]

SB 
[?]

PE 
[?]

DoS 
[?]
Alakalı ürünler
Mozilla Firefox ESR
Mozilla Firefox
CVE-IDS
?

CVE-2016-2834
CVE-2016-2833
CVE-2016-2832
CVE-2016-2831
CVE-2016-2829
CVE-2016-2828
CVE-2016-2826
CVE-2016-2825
CVE-2016-2824
CVE-2016-2822
CVE-2016-2821
CVE-2016-2819
CVE-2016-2818
CVE-2016-2815


Orijinaline link