BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

KLA11135
Mozilla Firefox ve Firefox ESR'deki birden fazla güvenlik açığı
Yüklendi : 07/05/2018
Bulunma tarihi
?
11/14/2017
Şiddet
?
Kritik
Açıklama

Firefox ve Firefox ESR'de birden fazla ciddi güvenlik açığı bulundu. Kötü amaçlı kullanıcılar bu güvenlik açıklarından yararlanabilir ve hizmet reddine, güvenlik sınırlamalarını atlatmaya, kullanıcı arabirimini dolandırmaya, siteler arası komut dosyası gerçekleştirmeye, ayrıcalık kazanmaya ve isteğe bağlı kod yürütmeye neden olabilir.

  1. Hizmetten kaldırmaya neden olmak için ücretsiz bir güvenlik açığından yararlanılabilir;
  2. Kaynak Zamanlaması API'sindeki bir güvenlik açığı, güvenlik kısıtlamalarını atlamak için hizmet hatası aracılığıyla uzaktan kullanılabilir;
  3. Güvenlik paketleyicisindeki bir güvenlik açığı, güvenlik kısıtlamalarını atlamak için kullanımdan kaldırılmış InvProps mekanizması aracılığıyla uzaktan kullanılabilir.
  4. Adres çubuğu kedisinde 'i' karakterinin oluşturulmasındaki bir hata, kullanıcı adlarının sahteciliğe sahteciliğinin sahteciliği yoluyla uzaktan kullanılabilir.
  5. Bazı yazı tiplerinin oluşturulmasıyla ilgili bir güvenlik açığı güvenlik kısıtlamalarını atlamak için uzaktan kullanılabilir.
  6. Verilerle ilgili bir güvenlik açığı data: Siteler arası komut dosyası oluşturmak için URL yüklemesi Content Security Policy aracılığıyla uzaktan kullanılabilir.
  7. Güvenli karışık engellemedeki güvenlik açığı güvenlik kısıtlamalarını atlamak için uzaktan kullanılabilir .;
  8. Firefox Health Report'taki bir güvenlik açığı, ayrıcalıklar elde etmek için çalıştırılabilir "pingsender" aracılığıyla yerel olarak kullanılabilir;
  9. Güvenlik kısıtlamalarını atlamak için çerezlerin ayarlanması yoluyla SVG'deki bir güvenlik açığı uzaktan kullanılabilir.
  10. Punycode'taki bir güvenlik açığı, kullanıcı arabiriminin parodi için uzaktan kullanılabilir.
  11. Javascript ile ilgili bir güvenlik açığı: URLS yapıştırma, kendinden siteler arası komut dosyası yürütmek için kullanılabilir;
  12. Yönlendirme İlkesi özniteliğiyle ilgili bir güvenlik açığı, güvenlik kısıtlamalarını atlamak için ağ istekleri aracılığıyla kullanılabilir;
  13. Bellek güvenliği hataları nedeniyle ortaya çıkan çoklu bellek bozulması güvenlik açıkları, keyfi kod yürütmek için uzaktan kullanılabilir;

Teknik detaylar

Güvenlik açığı (8) yalnızca OS X ve Linux için Firefox'u etkiler. Diğer işletim sistemleri etkilenmez.

Güvenlik açığı (13) yalnızca Mozilla Firefox 56 ve Firefox ESR 52.4'ü etkiler.

HTTPS'den HTTP'ye yönlendirilirken güvenlik açığı (7) oluşur.

Güvenlik Açıkları 1,2,13, Mozilla Firefox ESR ile ilgilidir.

Tüm güvenlik açıkları Mozilla Firefox ile ilgilidir.

Not: Bu güvenlik açıklarının kamuya açık CVSS puanı yoktur, bu nedenle değerlendirme zamana göre değiştirilebilir.

Etkilenmiş ürünler

Mozilla Firefox 57'den önceki sürümleri
Mozilla Firefox ESR sürümleri 52.5'den önceki

Çözüm

En son sürüme güncelle
Mozilla Firefox'u İndirin

Orijinal öneriler

Mozilla Foundation Security Advisory 2017-24
Mozilla Foundation Security Advisory 2017-25

Etkiler
?
SUI 
[?]

ACE 
[?]

XSSCSS 
[?]

SB 
[?]

PE 
[?]

DoS 
[?]
Alakalı ürünler
Mozilla Firefox ESR
Mozilla Firefox
CVE-IDS
?

CVE-2017-7826
CVE-2017-7827
CVE-2017-7842
CVE-2017-7840
CVE-2017-7839
CVE-2017-7838
CVE-2017-7837
CVE-2017-7836
CVE-2017-7835
CVE-2017-7834
CVE-2017-7833
CVE-2017-7832
CVE-2017-7831
CVE-2017-7830
CVE-2017-7828


Orijinaline link