Mozilla Firefox ve Firefox ESR'deki birden fazla güvenlik açığı

Açıklama

Mozilla Firefox'ta birden fazla ciddi güvenlik açığı bulundu. Kötü niyetli kullanıcılar, hassas bilgileri elde etmek, hizmet reddine, ayrıcalık elde etmek, isteğe bağlı kod çalıştırmak, XSS saldırıları gerçekleştirmek ve güvenlik sınırlamalarını atlamak için bu güvenlik açıklarından yararlanabilir.

Aşağıda güvenlik açıklarının tam listesi:

1. SVG animasyonları ve klip yolları içeren ücretsiz bir güvenlik açığı, keyfi kod çalıştırmak veya hizmet reddine neden olmak için uzaktan kullanılabilir.
2. SVG animasyonları ve metin yollarına sahip ücretsiz bir güvenlik açığı, keyfi kod çalıştırmak veya hizmet reddine neden olmak için uzaktan kullanılabilir.
3. PDF Viewer'daki aynı kaynaklı baypas güvenlik açığı, keyfi kod yürütmek için uzaktan kullanılabilir;
4. PDF Viewer'daki bir kodlama güvenlik açığı, keyfi kod yürütmek için uzaktan kullanılabilir;
5. Skia'da bir tamsayı taşması ve sınır dışı yazması, hizmet reddine neden olmak için uzaktan kullanılabilir.
6. WebRTC kodlayıcısında başlatılmamış bir bellek kullanımı, hizmet reddine neden olmak için uzaktan kullanılabilir;
7. WebExtentions'taki bir bilgi sızıntısı güvenlik açığı, hassas bilgiler elde etmek için uzaktan kullanılabilir.
8. Karma içerik websocket iletilerinde sınır dışı okunan bir güvenlik açığı, hizmet reddine neden olmak için uzaktan kullanılabilir.
9. JavaScript Başlangıç ​​Önbelleği Önbelleği'nde belirlenmemiş bir güvenlik açığı, ayrıcalık elde etmek için uzaktan kullanılabilir;
10. CSP'deki belirlenmemiş bir güvenlik açığı, siteler arası komut dosyası saldırılarını gerçekleştirmek için uzaktan kullanılabilir.
11. WebExtensions'ta bir izin atlatma güvenlik açığı güvenlik kısıtlamalarını atlamak için uzaktan kullanılabilir.
12. JavaScript hata ayıklayıcısındaki belirlenmemiş bir güvenlik açığı, belirtilmemiş saldırıları gerçekleştirmek için uzaktan kullanılabilir.
13. Güvenlik kısıtlamalarını atlamak için belirlenmemiş bir güvenlik açığı uzaktan kullanılabilir.
14. Belirtilmemiş bir güvenlik açığı isteğe bağlı kod çalıştırmak için uzaktan kullanılabilir;
15. Belirlenemeyen bir güvenlik açığı, hassas bilgileri elde etmek için uzaktan kullanılabilir.
16. Belirtilmemiş bir güvenlik açığı isteğe bağlı kod çalıştırmak için uzaktan kullanılabilir;
17. Güvenlik kısıtlamalarını atlamak için CSP'deki belirlenmemiş bir güvenlik açığı uzaktan kullanılabilir.
18. JSON Viewer'daki bir komut dosyası oluşturma güvenlik açığı, hassas bilgiler elde etmek için uzaktan kullanılabilir.
19. XSLT'de bir arabellek taşması güvenlik açığı hizmet reddine neden olmak için uzaktan kullanılabilir;
20. Bir arabellek taşması güvenlik açığı, hizmet reddine neden olmak için çok büyük miktarda veri içeren JavaScript içinde UTF8'den Unicode dize dönüşümü yoluyla uzaktan kullanılabilir;
21. Flash korumalı modla ilgili bir güvenlik açığı belirlenemeyen saldırıları gerçekleştirmek için uzaktan kullanılabilir.
22. WebGL'de kullanım sonrası bir güvenlik açığı hizmet reddine neden olmak için uzaktan kullanılabilir.

---

Teknik detaylar

Güvenlik açıkları (6) – (15) ve (17) – (19), (21), (22) sadece Mozilla Firefox'u etkiler;

Güvenlik açığı (20) yalnızca Mozilla Firefox ESR'yi etkiler;

Güvenlik açığı (16) yalnızca Nisan 2018 güncellemesini çalıştıran Windows 10 kullanıcıları veya daha sonraki bir sürümünü etkiler. Diğer Windows kullanıcılarını veya diğer işletim sistemlerini etkilemez.

Not: Şu anda Mozilla bu güvenlik açıkları için CVE numaralarını rezerve etmiştir. Bilgi yakında değiştirilebilir.

Orijinal öneriler

• Mozilla Foundation Security Advisory 2018-11

• Mozilla Foundation Security Advisory 2018-12

CVE Listesi

Daha fazlasını okuyun

Bölgenizde yayılan güvenlik açıklarının istatistiklerini öğrenin statistics.securelist.com