Mozilla Firefox ve Firefox ESR'deki birden fazla güvenlik açığı

Açıklama

Mozilla Firefox ve Mozilla Firefox ESR'de birden fazla ciddi güvenlik açığı bulundu. Kötü amaçlı kullanıcılar bu güvenlik açıklarından yararlanabilir ve hizmet reddi, kullanıcı arabirimi sızdırabilir, hassas bilgiler edinebilir, rasgele kod çalıştırabilir, siteler arası komut dosyası saldırıları gerçekleştirebilir, güvenlik kısıtlamalarını atlayabilir ve ayrıcalık elde edebilir.

1. Çoklu kullanımdan sonra serbest açık güvenlik açıkları hizmet reddine neden olmak için uzaktan açıklanabilir;
2. Web İşleyicilerinde kullanım sonrası ücretsiz güvenlik açığı hizmet reddine neden olmak için uzaktan açıklanabilir;
3. WebAssembly'daki çoklu yığın taşması güvenlik açıkları hizmet reddine neden olmak için uzaktan kullanılabilir;
4. Skia kitaplığındaki bir tamsayı taşması güvenlik açığı hizmet reddine neden olmak için uzaktan kullanılabilir;
5. WebExtentions'ta belirtilmeyen bir güvenlik açığı, güvenlik kısıtlamalarını atlamak için uzaktan kullanılabilir.
6. Geliştirici Araçları'ndaki belirlenmemiş bir güvenlik açığı, hassas bilgileri elde etmek için uzaktan kullanılabilir.
7. Yazdırma işlemindeki belirlenmemiş bir güvenlik açığı güvenlik kısıtlamalarını atlamak için uzaktan kullanılabilir.
8. Bir Blob URL'sinin Origin niteliği ayrıştırma ihlali, hassas bilgiler elde etmek için uzaktan kullanılabilir.
9. Belirlenemeyen bir güvenlik açığı, hassas bilgileri elde etmek için uzaktan kullanılabilir.
10. Belirtilmemiş bir güvenlik açığı, kullanıcı arabiriminin parodi için uzaktan kullanılabilir.
11. Belirlenemeyen bir güvenlik açığı, özel olarak biçimlendirilmiş URL aracılığıyla kullanıcı arabiriminin sahteciliği için kullanılabilir.
12. Bir uzantının Geliştirici Aracı panellerinde uygun olmayan bir zorunluluk zorluğu kazançları ele geçirmek için uzaktan kullanılabilir.
13. Browser.identity.launchWebAuthFlow işlevinde uygun olmayan bir zorunluluk zorunluluğu elde etmek için uzaktan kullanılabilir;
14. Değiştirilen HttpOnly çerezinin yanlış kullanımı, güvenlik kısıtlamalarını atlamak için uzaktan kullanılabilir.
15. Belirtilmemiş bir güvenlik açığı, hassas bilgiler elde etmek için özel olarak hazırlanmış arka plan ağ isteği yoluyla uzaktan kullanılabilir.
16. WebExtensions'ta uygun olmayan bir gereksinim zorlaması, güvenlik kısıtlamalarını atlamak için uzaktan kullanılabilir.
17. Belirtilmemiş bir güvenlik açığı, kullanıcı arabiriminin parodi özel olarak hazırlanmış URL aracılığıyla uzaktan kullanılabilir.
18. Etkinlik Akışı'ndaki belirlenmemiş bir güvenlik açığı güvenlik sınırlamalarını atlamak için uzaktan kullanılabilir.
19. Okuyucu görünümündeki belirlenmemiş bir güvenlik açığı, çapraz site komut dosyası (XSS) saldırısı gerçekleştirmek için uzaktan kullanılabilir.
20. Adres çubuğunda belirlenmemiş bir güvenlik açığı, kullanıcı arabiriminin sahteciliğine yönelik çeşitli yazı tiplerinde bazı Tibet karakterleri aracılığıyla uzaktan kullanılabilir.
21. WebCrypto'nun DoCrypt işlevinde potansiyel bir tamsayı taşması güvenlik açığı hizmet reddine uzaktan alınabilir;
22. Birden fazla bellek bozulması güvenlik açığı keyfi kod çalıştırmak için uzaktan kullanılabilir;

---

Teknik detaylar

Güvenlik açıkları (2) – (9), (11) – (16), (18), (19), (21) sadece Mozilla Firefox'u etkiler.

Güvenlik açıkları (10), (20), yalnızca Mozilla Firefox'un OS X sürümlerini etkiler.

Orijinal öneriler

• Mozilla Foundation Security Advisory 2018-02

• Mozilla Foundation Security Advisory 2018-03

CVE Listesi

Daha fazlasını okuyun

Bölgenizde yayılan güvenlik açıklarının istatistiklerini öğrenin statistics.securelist.com