BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

KLA11246
Mozilla Firefox ve Firefox ESR'deki birden fazla güvenlik açığı
Yüklendi : 07/05/2018
CVSS
?
7.5
Bulunma tarihi
?
05/09/2018
Şiddet
?
Kritik
Açıklama

Mozilla Firefox'ta birden fazla ciddi güvenlik açığı bulundu. Kötü niyetli kullanıcılar, hassas bilgileri elde etmek, hizmet reddine, ayrıcalık elde etmek, isteğe bağlı kod çalıştırmak, XSS saldırıları gerçekleştirmek ve güvenlik sınırlamalarını atlamak için bu güvenlik açıklarından yararlanabilir.

Aşağıda güvenlik açıklarının tam listesi:

  1. SVG animasyonları ve klip yolları içeren ücretsiz bir güvenlik açığı, keyfi kod çalıştırmak veya hizmet reddine neden olmak için uzaktan kullanılabilir.
  2. SVG animasyonları ve metin yollarına sahip ücretsiz bir güvenlik açığı, keyfi kod çalıştırmak veya hizmet reddine neden olmak için uzaktan kullanılabilir.
  3. PDF Viewer'daki aynı kaynaklı baypas güvenlik açığı, keyfi kod yürütmek için uzaktan kullanılabilir;
  4. PDF Viewer'daki bir kodlama güvenlik açığı, keyfi kod yürütmek için uzaktan kullanılabilir;
  5. Skia'da bir tamsayı taşması ve sınır dışı yazması, hizmet reddine neden olmak için uzaktan kullanılabilir.
  6. WebRTC kodlayıcısında başlatılmamış bir bellek kullanımı, hizmet reddine neden olmak için uzaktan kullanılabilir;
  7. WebExtentions'taki bir bilgi sızıntısı güvenlik açığı, hassas bilgiler elde etmek için uzaktan kullanılabilir.
  8. Karma içerik websocket iletilerinde sınır dışı okunan bir güvenlik açığı, hizmet reddine neden olmak için uzaktan kullanılabilir.
  9. JavaScript Başlangıç ​​Önbelleği Önbelleği'nde belirlenmemiş bir güvenlik açığı, ayrıcalık elde etmek için uzaktan kullanılabilir;
  10. CSP'deki belirlenmemiş bir güvenlik açığı, siteler arası komut dosyası saldırılarını gerçekleştirmek için uzaktan kullanılabilir.
  11. WebExtensions'ta bir izin atlatma güvenlik açığı güvenlik kısıtlamalarını atlamak için uzaktan kullanılabilir.
  12. JavaScript hata ayıklayıcısındaki belirlenmemiş bir güvenlik açığı, belirtilmemiş saldırıları gerçekleştirmek için uzaktan kullanılabilir.
  13. Güvenlik kısıtlamalarını atlamak için belirlenmemiş bir güvenlik açığı uzaktan kullanılabilir.
  14. Belirtilmemiş bir güvenlik açığı isteğe bağlı kod çalıştırmak için uzaktan kullanılabilir;
  15. Belirlenemeyen bir güvenlik açığı, hassas bilgileri elde etmek için uzaktan kullanılabilir.
  16. Belirtilmemiş bir güvenlik açığı isteğe bağlı kod çalıştırmak için uzaktan kullanılabilir;
  17. Güvenlik kısıtlamalarını atlamak için CSP'deki belirlenmemiş bir güvenlik açığı uzaktan kullanılabilir.
  18. JSON Viewer'daki bir komut dosyası oluşturma güvenlik açığı, hassas bilgiler elde etmek için uzaktan kullanılabilir.
  19. XSLT'de bir arabellek taşması güvenlik açığı hizmet reddine neden olmak için uzaktan kullanılabilir;
  20. Bir arabellek taşması güvenlik açığı, hizmet reddine neden olmak için çok büyük miktarda veri içeren JavaScript içinde UTF8'den Unicode dize dönüşümü yoluyla uzaktan kullanılabilir;
  21. Flash korumalı modla ilgili bir güvenlik açığı belirlenemeyen saldırıları gerçekleştirmek için uzaktan kullanılabilir.
  22. WebGL'de kullanım sonrası bir güvenlik açığı hizmet reddine neden olmak için uzaktan kullanılabilir.

Teknik detaylar

Güvenlik açıkları (6) – (15) ve (17) – (19), (21), (22) sadece Mozilla Firefox'u etkiler;

Güvenlik açığı (20) yalnızca Mozilla Firefox ESR'yi etkiler;

Güvenlik açığı (16) yalnızca Nisan 2018 güncellemesini çalıştıran Windows 10 kullanıcıları veya daha sonraki bir sürümünü etkiler. Diğer Windows kullanıcılarını veya diğer işletim sistemlerini etkilemez.

Not: Şu anda Mozilla bu güvenlik açıkları için CVE numaralarını rezerve etmiştir. Bilgi yakında değiştirilebilir.

Etkilenmiş ürünler

Mozilla Firefox 60 yaşından küçük
Mozilla Firefox ESR 52.8'den önceki

Çözüm

En son sürüme güncelle
Mozilla Firefox ESR indirin
Mozilla Firefox'u İndirin

Orijinal öneriler

Mozilla Foundation Security Advisory 2018-11
Mozilla Foundation Security Advisory 2018-12

Etkiler
?
ACE 
[?]

OSI 
[?]

XSSCSS 
[?]

SB 
[?]

PE 
[?]

DoS 
[?]
Alakalı ürünler
Mozilla Firefox ESR
Mozilla Firefox
CVE-IDS
?

CVE-2018-5150
CVE-2018-5151
CVE-2018-5182
CVE-2018-5181
CVE-2018-5180
CVE-2018-5165
CVE-2018-5177
CVE-2018-5176
CVE-2018-5175
CVE-2018-5174
CVE-2018-5173
CVE-2018-5172
CVE-2018-5169
CVE-2018-5168
CVE-2018-5167
CVE-2018-5166
CVE-2018-5164
CVE-2018-5163
CVE-2018-5153
CVE-2018-5152
CVE-2018-5160
CVE-2018-5159
CVE-2018-5158
CVE-2018-5157
CVE-2018-5155
CVE-2018-5154


Orijinaline link