BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER. Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.
Şunlar için çözümler:
Ev Ürünleri
Küçük Ölçekli İşletme
Orta Ölçekli İşletme
Büyük Ölçekli İşletme
Zayıf noktalar Tehditler
Ana sayfa Zayıf noktalar

Mozilla Firefox ve Mozilla Firefox ESR'deki birden fazla güvenlik açığı

Kaspersky ID:
KLA10969
Bulunma tarihi:
03/07/2017
Yüklendi:
07/05/2018

Açıklama

Mozilla Firefox ve Mozilla Firefox ESR'de birden fazla ciddi güvenlik açığı bulundu. Kötü amaçlı kullanıcılar hassas bilgileri elde etmek, keyfi kod çalıştırmak, hizmet reddine ve ayrıcalık elde etmek için bu güvenlik açıklarından yararlanabilir.

Aşağıda güvenlik açıklarının tam listesi

  1. Asm.js'deki bellek bozulması güvenlik açığı, hizmet reddine yol açan ASLR ve DEP korumalarını atlamak için uzaktan kullanılabilir.
  2. Trigable web içeriğindeki bellek bozulması güvenlik açığı hizmet reddine neden olmak için uzaktan kullanılabilir;
  3. FontFace nesnelerini yok ettikten sonra, bir hizmet reddine neden olmak için uzaktan kullanıldıktan sonra olayları tetikledikten sonra ortaya çıkabilecek boşluksuz güvenlik açığı;
  4. Seçimlerdeki aralıkları işlerken ortaya çıkabilecek serbest-boşluksuz güvenlik açığı, hizmet reddine neden olmak için uzaktan kullanılabilir.
  5. SVG filtrelerindeki güvenlik açığı çalınan piksel ve geçmiş, hassas bilgileri elde etmek için uzaktan kullanılabilir.
  6. JavaScript çöp toplama işlemindeki bellek bozulması güvenlik açığı, hizmet reddine neden olmak için uzaktan kullanılabilir;
  7. CORS'teki çapraz kaynaklı okuma açığı hassas bilgileri elde etmek için uzaktan kullanılabilir.
  8. FTP bağlantılarındaki portlar için başlatılmamış değerlerin kullanımı, hizmet reddine neden olmak için uzaktan kullanılabilir;
  9. Bellek bozulması güvenlik açığı keyfi kod çalıştırmak için uzaktan kullanılabilir;
  10. Mozilla Windows updater ve Maintenance Service'deki dosya silme güvenlik açığı ayrıcalıklar elde etmek için geri arama parametresi aracılığıyla uzaktan kullanılabilir;
  11. Element :: DescribeAttribute () yöntemindeki sınırların erişememesinden kaynaklanan bellek bozulması güvenlik açığı, muhtemelen rasgele kod çalıştırmak veya hizmet reddine neden olmak için uzaktan kullanılabilir.
  12. DOM'de yanlış bir kök nesnesine aralık eklerken oluşabilecek boşluksuz kullanımı güvenlik açığı, hizmet reddine neden olmak için uzaktan kullanılabilir;
  13. Skia grafik kitaplığındaki bir segmentasyon hatası güvenlik açığı, hizmet reddine neden olmak için uzaktan kullanılabilir;
  14. LibGLES içindeki Arabellek Deposundaki boşluksuz kullanımı güvenlik açığı hizmet reddine neden olmak için uzaktan kullanılabilir;
  15. SVG filtrelerinde okunan arabellek taşması, üzerine yazılan dosyaların içerdiği bazı bilgilerin kaybolmasına yol açarak uzaktan kullanılabilir;
  16. İki yönlü işlemler sırasında ortaya çıkabilecek bir segmentasyon hatası güvenlik açığı, hizmet reddine neden olmak için uzaktan kullanılabilir.
  17. Dosya seçici tarafından seçilen yanlış yerel varsayılan dizin, hassas bilgileri elde etmek için uzaktan kullanılabilir;
  18. Blob URL'sindeki bilinmeyen bir güvenlik açığı uzaktan kullanıcı arayüzündeki değişikliklere yol açarak kullanılabilir.
  19. HttpChannel'de bir ağ olay olay dinleyicisinin zamansız bir sürümü hizmet reddine neden olmak için uzaktan kullanılabilir;
  20. URL’de sürükleyip bırakarak bilinmeyen bir güvenlik açığı, kullanıcı arabirimindeki değişikliklere uzaktan yol açabilir;
  21. Varolmayan chrome.manifest öğesinin yüklenmesi, ayrıcalıklar elde etmek için kullanılabilir;
  22. HTTP özet yetkilendirme yanıtlarını ayrıştırırken okunan sınırların okunması, hizmet reddine neden olmak veya hassas bilgiler elde etmek için uzaktan kullanılabilir.
  23. Tekrarlanan kimlik doğrulama istekleri, hizmet reddine neden olmak için uzaktan kullanılabilir.
  24. URL'lerdeki adres çubuğu konumunu gizleyebilen bilinmeyen bir güvenlik açığı, kullanıcı arabirimindeki değişikliklere uzaktan yol açabilir;
  25. Açılır pencerelerin etkinleştirilmesi durumunda ortaya çıkabilecek bilinmeyen bir güvenlik açığı, kullanıcı arabirimindeki değişikliklere uzaktan yol açabilir;
  26. Görüntüleme kaynağındaki tek bir köprünün içindeki bir dizide kullanılan yanlış protokol, hizmet reddine neden olmak için uzaktan kullanılabilir.

Teknik detaylar

1-10 Güvenlik Açıkları, Mozilla Firefox ESR ile ilgilidir.

Tüm güvenlik açıkları Mozilla Firefox ile ilgilidir.

Not: Bu güvenlik açığı kamuya açık CVSS derecesine sahip değildir, bu nedenle derecelendirme zamanla değiştirilebilir.
Not: Bu anda Mozilla, bu güvenlik açıkları için CVE numaralarını rezerve etti. Bilgi yakında değiştirilebilir.

Orijinal öneriler

CVE Listesi

Daha fazlasını okuyun

Bölgenizde yayılan güvenlik açıklarının istatistiklerini öğrenin statistics.securelist.com

Bu güvenlik açığının açıklamasında bir tutarsızlık mı tespit ettiniz? Bize bildirin!
Yeni Kaspersky!
Dijital hayatınız güçlü korumayı hak ediyor!
Daha fazla bilgi edin
Kaspersky IT Security Calculator
Daha fazla bilgi edin
Related articles
11 July 2024
Securelist
When spear phishing met mass phishing
09 July 2024
Securelist
Developing and prioritizing a detection engineering backlog based on MITRE ATT&CK
08 July 2024
Securelist
CloudSorcerer – A new APT targeting Russian government entities
25 June 2024
Securelist
Cybersecurity in the SMB space — a growing threat
24 June 2024
Securelist
XZ backdoor: Hook analysis
18 June 2024
Securelist
Analysis of user password strength
Bu güvenlik açığının açıklamasında bir tutarsızlık mı tespit ettiniz?
Eğer yeni bir Tehdit ya da Güvenlik Açığı tespit ettiyseniz lütfen e-posta ile bize bildirin:
newvirus@kaspersky.com
Yeni bir Tehdit ya da Güvenlik Açığı mı tespit ettiniz?
Eğer yeni bir Tehdit ya da Güvenlik Açığı tespit ettiyseniz lütfen e-posta ile bize bildirin:
newvirus@kaspersky.com
Şunlar için çözümler
Ev Ürünleri
Küçük Ölçekli İşletme
Orta Ölçekli İşletme
Büyük Ölçekli İşletme
Select language
Sorting
Kaspersky ID
Güvenlik açığı
Detect date
Şiddet
Confirm changes?
Your message has been sent successfully.