Firefox ve Firefox ESR'de birden fazla ciddi güvenlik açığı bulundu. Kötü amaçlı kullanıcılar bu güvenlik açıklarından yararlanabilir ve hizmet reddine, güvenlik sınırlamalarını atlatmaya, kullanıcı arabirimini dolandırmaya, siteler arası komut dosyası gerçekleştirmeye, ayrıcalık kazanmaya ve isteğe bağlı kod yürütmeye neden olabilir.

1. Hizmetten kaldırmaya neden olmak için ücretsiz bir güvenlik açığından yararlanılabilir;
2. Kaynak Zamanlaması API'sindeki bir güvenlik açığı, güvenlik kısıtlamalarını atlamak için hizmet hatası aracılığıyla uzaktan kullanılabilir;
3. Güvenlik paketleyicisindeki bir güvenlik açığı, güvenlik kısıtlamalarını atlamak için kullanımdan kaldırılmış InvProps mekanizması aracılığıyla uzaktan kullanılabilir.
4. Adres çubuğu kedisinde 'i' karakterinin oluşturulmasındaki bir hata, kullanıcı adlarının sahteciliğe sahteciliğinin sahteciliği yoluyla uzaktan kullanılabilir.
5. Bazı yazı tiplerinin oluşturulmasıyla ilgili bir güvenlik açığı güvenlik kısıtlamalarını atlamak için uzaktan kullanılabilir.
6. Verilerle ilgili bir güvenlik açığı data: Siteler arası komut dosyası oluşturmak için URL yüklemesi Content Security Policy aracılığıyla uzaktan kullanılabilir.
7. Güvenli karışık engellemedeki güvenlik açığı güvenlik kısıtlamalarını atlamak için uzaktan kullanılabilir .;
8. Firefox Health Report'taki bir güvenlik açığı, ayrıcalıklar elde etmek için çalıştırılabilir "pingsender" aracılığıyla yerel olarak kullanılabilir;
9. Güvenlik kısıtlamalarını atlamak için çerezlerin ayarlanması yoluyla SVG'deki bir güvenlik açığı uzaktan kullanılabilir.
10. Punycode'taki bir güvenlik açığı, kullanıcı arabiriminin parodi için uzaktan kullanılabilir.
11. Javascript ile ilgili bir güvenlik açığı: URLS yapıştırma, kendinden siteler arası komut dosyası yürütmek için kullanılabilir;
12. Yönlendirme İlkesi özniteliğiyle ilgili bir güvenlik açığı, güvenlik kısıtlamalarını atlamak için ağ istekleri aracılığıyla kullanılabilir;
13. Bellek güvenliği hataları nedeniyle ortaya çıkan çoklu bellek bozulması güvenlik açıkları, keyfi kod yürütmek için uzaktan kullanılabilir;

Teknik detaylar

Güvenlik açığı (8) yalnızca OS X ve Linux için Firefox'u etkiler. Diğer işletim sistemleri etkilenmez.

Güvenlik açığı (13) yalnızca Mozilla Firefox 56 ve Firefox ESR 52.4'ü etkiler.

HTTPS'den HTTP'ye yönlendirilirken güvenlik açığı (7) oluşur.

Güvenlik Açıkları 1,2,13, Mozilla Firefox ESR ile ilgilidir.

Tüm güvenlik açıkları Mozilla Firefox ile ilgilidir.

Not: Bu güvenlik açıklarının kamuya açık CVSS puanı yoktur, bu nedenle değerlendirme zamana göre değiştirilebilir.

Mozilla Firefox 57'den önceki sürümleri
Mozilla Firefox ESR sürümleri 52.5'den önceki

En son sürüme güncelle
Mozilla Firefox'u İndirin

Mozilla Foundation Security Advisory 2017-24
Mozilla Foundation Security Advisory 2017-25

CVE-2017-7826
CVE-2017-7827
CVE-2017-7842
CVE-2017-7840
CVE-2017-7839
CVE-2017-7838
CVE-2017-7837
CVE-2017-7836
CVE-2017-7835
CVE-2017-7834
CVE-2017-7833
CVE-2017-7832
CVE-2017-7831
CVE-2017-7830
CVE-2017-7828