BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

KLA11184
Mozilla Firefox ve Firefox ESR'deki birden fazla güvenlik açığı
Yüklendi : 07/05/2018
Bulunma tarihi
?
01/23/2018
Şiddet
?
Kritik
Açıklama

Mozilla Firefox ve Mozilla Firefox ESR'de birden fazla ciddi güvenlik açığı bulundu. Kötü amaçlı kullanıcılar bu güvenlik açıklarından yararlanabilir ve hizmet reddi, kullanıcı arabirimi sızdırabilir, hassas bilgiler edinebilir, rasgele kod çalıştırabilir, siteler arası komut dosyası saldırıları gerçekleştirebilir, güvenlik kısıtlamalarını atlayabilir ve ayrıcalık elde edebilir.

  1. Çoklu kullanımdan sonra serbest açık güvenlik açıkları hizmet reddine neden olmak için uzaktan açıklanabilir;
  2. Web İşleyicilerinde kullanım sonrası ücretsiz güvenlik açığı hizmet reddine neden olmak için uzaktan açıklanabilir;
  3. WebAssembly'daki çoklu yığın taşması güvenlik açıkları hizmet reddine neden olmak için uzaktan kullanılabilir;
  4. Skia kitaplığındaki bir tamsayı taşması güvenlik açığı hizmet reddine neden olmak için uzaktan kullanılabilir;
  5. WebExtentions'ta belirtilmeyen bir güvenlik açığı, güvenlik kısıtlamalarını atlamak için uzaktan kullanılabilir.
  6. Geliştirici Araçları'ndaki belirlenmemiş bir güvenlik açığı, hassas bilgileri elde etmek için uzaktan kullanılabilir.
  7. Yazdırma işlemindeki belirlenmemiş bir güvenlik açığı güvenlik kısıtlamalarını atlamak için uzaktan kullanılabilir.
  8. Bir Blob URL'sinin Origin niteliği ayrıştırma ihlali, hassas bilgiler elde etmek için uzaktan kullanılabilir.
  9. Belirlenemeyen bir güvenlik açığı, hassas bilgileri elde etmek için uzaktan kullanılabilir.
  10. Belirtilmemiş bir güvenlik açığı, kullanıcı arabiriminin parodi için uzaktan kullanılabilir.
  11. Belirlenemeyen bir güvenlik açığı, özel olarak biçimlendirilmiş URL aracılığıyla kullanıcı arabiriminin sahteciliği için kullanılabilir.
  12. Bir uzantının Geliştirici Aracı panellerinde uygun olmayan bir zorunluluk zorluğu kazançları ele geçirmek için uzaktan kullanılabilir.
  13. Browser.identity.launchWebAuthFlow işlevinde uygun olmayan bir zorunluluk zorunluluğu elde etmek için uzaktan kullanılabilir;
  14. Değiştirilen HttpOnly çerezinin yanlış kullanımı, güvenlik kısıtlamalarını atlamak için uzaktan kullanılabilir.
  15. Belirtilmemiş bir güvenlik açığı, hassas bilgiler elde etmek için özel olarak hazırlanmış arka plan ağ isteği yoluyla uzaktan kullanılabilir.
  16. WebExtensions'ta uygun olmayan bir gereksinim zorlaması, güvenlik kısıtlamalarını atlamak için uzaktan kullanılabilir.
  17. Belirtilmemiş bir güvenlik açığı, kullanıcı arabiriminin parodi özel olarak hazırlanmış URL aracılığıyla uzaktan kullanılabilir.
  18. Etkinlik Akışı'ndaki belirlenmemiş bir güvenlik açığı güvenlik sınırlamalarını atlamak için uzaktan kullanılabilir.
  19. Okuyucu görünümündeki belirlenmemiş bir güvenlik açığı, çapraz site komut dosyası (XSS) saldırısı gerçekleştirmek için uzaktan kullanılabilir.
  20. Adres çubuğunda belirlenmemiş bir güvenlik açığı, kullanıcı arabiriminin sahteciliğine yönelik çeşitli yazı tiplerinde bazı Tibet karakterleri aracılığıyla uzaktan kullanılabilir.
  21. WebCrypto'nun DoCrypt işlevinde potansiyel bir tamsayı taşması güvenlik açığı hizmet reddine uzaktan alınabilir;
  22. Birden fazla bellek bozulması güvenlik açığı keyfi kod çalıştırmak için uzaktan kullanılabilir;

Teknik detaylar

Güvenlik açıkları (2) – (9), (11) – (16), (18), (19), (21) sadece Mozilla Firefox'u etkiler.

Güvenlik açıkları (10), (20), yalnızca Mozilla Firefox'un OS X sürümlerini etkiler.

Etkilenmiş ürünler

Daha önce Mozilla Firefox versiyonları 58
Mozilla Firefox ESR sürümleri daha önce 52.6

Çözüm

En son sürüme güncelle
Mozilla Firefox ESR indirin
Mozilla Firefox'u İndirin

Orijinal öneriler

Mozilla Foundation Security Advisory 2018-02
Mozilla Foundation Security Advisory 2018-03

Etkiler
?
SUI 
[?]

ACE 
[?]

OSI 
[?]

XSSCSS 
[?]

SB 
[?]

PE 
[?]

DoS 
[?]
Alakalı ürünler
Mozilla Firefox ESR
Mozilla Firefox
CVE-IDS
?

CVE-2018-5090
CVE-2018-5122
CVE-2018-5121
CVE-2018-5119
CVE-2018-5118
CVE-2018-5116
CVE-2018-5115
CVE-2018-5114
CVE-2018-5113
CVE-2018-5112
CVE-2018-5111
CVE-2018-5110
CVE-2018-5109
CVE-2018-5108
CVE-2018-5107
CVE-2018-5106
CVE-2018-5105
CVE-2018-5101
CVE-2018-5100
CVE-2018-5094
CVE-2018-5093
CVE-2018-5092
CVE-2018-5089
CVE-2018-5117
CVE-2018-5104
CVE-2018-5103
CVE-2018-5102
CVE-2018-5099
CVE-2018-5098
CVE-2018-5097
CVE-2018-5096
CVE-2018-5095
CVE-2018-5091


Orijinaline link