Mozilla Firefox ve Firefox ESR'deki birden fazla güvenlik açığı

Açıklama

Firefox ve Firefox ESR'de birden fazla ciddi güvenlik açığı bulundu. Kötü amaçlı kullanıcılar bu güvenlik açıklarından yararlanabilir ve hizmet reddine, güvenlik sınırlamalarını atlatmaya, kullanıcı arabirimini dolandırmaya, siteler arası komut dosyası gerçekleştirmeye, ayrıcalık kazanmaya ve isteğe bağlı kod yürütmeye neden olabilir.

1. Hizmetten kaldırmaya neden olmak için ücretsiz bir güvenlik açığından yararlanılabilir;
2. Kaynak Zamanlaması API'sindeki bir güvenlik açığı, güvenlik kısıtlamalarını atlamak için hizmet hatası aracılığıyla uzaktan kullanılabilir;
3. Güvenlik paketleyicisindeki bir güvenlik açığı, güvenlik kısıtlamalarını atlamak için kullanımdan kaldırılmış InvProps mekanizması aracılığıyla uzaktan kullanılabilir.
4. Adres çubuğu kedisinde 'i' karakterinin oluşturulmasındaki bir hata, kullanıcı adlarının sahteciliğe sahteciliğinin sahteciliği yoluyla uzaktan kullanılabilir.
5. Bazı yazı tiplerinin oluşturulmasıyla ilgili bir güvenlik açığı güvenlik kısıtlamalarını atlamak için uzaktan kullanılabilir.
6. Verilerle ilgili bir güvenlik açığı data: Siteler arası komut dosyası oluşturmak için URL yüklemesi Content Security Policy aracılığıyla uzaktan kullanılabilir.
7. Güvenli karışık engellemedeki güvenlik açığı güvenlik kısıtlamalarını atlamak için uzaktan kullanılabilir .;
8. Firefox Health Report'taki bir güvenlik açığı, ayrıcalıklar elde etmek için çalıştırılabilir "pingsender" aracılığıyla yerel olarak kullanılabilir;
9. Güvenlik kısıtlamalarını atlamak için çerezlerin ayarlanması yoluyla SVG'deki bir güvenlik açığı uzaktan kullanılabilir.
10. Punycode'taki bir güvenlik açığı, kullanıcı arabiriminin parodi için uzaktan kullanılabilir.
11. Javascript ile ilgili bir güvenlik açığı: URLS yapıştırma, kendinden siteler arası komut dosyası yürütmek için kullanılabilir;
12. Yönlendirme İlkesi özniteliğiyle ilgili bir güvenlik açığı, güvenlik kısıtlamalarını atlamak için ağ istekleri aracılığıyla kullanılabilir;
13. Bellek güvenliği hataları nedeniyle ortaya çıkan çoklu bellek bozulması güvenlik açıkları, keyfi kod yürütmek için uzaktan kullanılabilir;

---

Teknik detaylar

Güvenlik açığı (8) yalnızca OS X ve Linux için Firefox'u etkiler. Diğer işletim sistemleri etkilenmez.

Güvenlik açığı (13) yalnızca Mozilla Firefox 56 ve Firefox ESR 52.4'ü etkiler.

HTTPS'den HTTP'ye yönlendirilirken güvenlik açığı (7) oluşur.

Güvenlik Açıkları 1,2,13, Mozilla Firefox ESR ile ilgilidir.

Tüm güvenlik açıkları Mozilla Firefox ile ilgilidir.

Not: Bu güvenlik açıklarının kamuya açık CVSS puanı yoktur, bu nedenle değerlendirme zamana göre değiştirilebilir.

Orijinal öneriler

• Mozilla Foundation Security Advisory 2017-24

• Mozilla Foundation Security Advisory 2017-25

CVE Listesi

Daha fazlasını okuyun

Bölgenizde yayılan güvenlik açıklarının istatistiklerini öğrenin statistics.securelist.com