Açıklama
Mozilla Firefox ve Mozilla Firefox ESR'de birden fazla ciddi güvenlik açığı bulundu. Kötü amaçlı kullanıcılar, güvenlik açıklarını atlamak, keyfi kod çalıştırmak, hizmet reddine ve hassas bilgileri elde etmek için bu güvenlik açıklarından yararlanabilir.
Aşağıda güvenlik açıklarının tam listesi:
- Mozilla Firefox'ta yanlış yönlendirme işlemi, hassas bilgiler elde etmek için özel olarak tasarlanmış web sitesi aracılığıyla uzaktan kullanılabilir;
- Tuvalin oluşturulmasında oluşan arabellek taşması güvenlik açığı, hizmet reddine neden olmak için özel olarak tasarlanmış web sitesi aracılığıyla uzaktan kullanılabilir.
- Eleman silme işleminde ortaya çıkan serbest-kullanım-sonrası savunmasızlık, hizmet reddine neden olmak için özel olarak tasarlanmış web sitesi aracılığıyla uzaktan kullanılabilir;
- SwizzleData'daki tamsayı taşması güvenlik açığı, hizmet reddine neden olmak için özel olarak tasarlanmış web sitesi aracılığıyla uzaktan kullanılabilir;
- SSSE3 ölçekleyicideki tamsayı taşması güvenlik açığı, hizmet reddine neden olmak için özel olarak tasarlanmış web sitesi aracılığıyla uzaktan kullanılabilir;
- Belgeler arasındaki DOM düğümlerinin taşınmasında ortaya çıkan serbest-kullanım-sonrası açıklık, hizmet reddine neden olmak için özel olarak tasarlanmış web sitesi aracılığıyla uzaktan kullanılabilir;
- NPAPI eklentilerinde yanlış isteklerin ele alınması, hassas bilgiler elde etmek için özel olarak tasarlanmış web sitesi aracılığıyla uzaktan kullanılabilir.
- IPC sanal alan güvenlik politikasındaki güvenlik açığı, hassas bilgiler elde etmek için özel olarak tasarlanmış web sitesi aracılığıyla uzaktan kullanılabilir.
- QCMS'deki sınırların okunmamış güvenlik açığı, hassas bilgiler elde etmek için özel olarak tasarlanmış web sitesi aracılığıyla uzaktan kullanılabilir.
- PerformanceNavigationTiming yöntemiyle ilgili güvenlik açığı, Specter azaltma işlemlerini atlatmak için kullanılabilir;
- Tarayıcı ile ilgili güvenlik açığı, SetupContent-ms uzantısıyla çalıştırılabilir dosyalar açılırken kullanıcıları uyarmaz;
- WebExtensions'ta uygunsuz yetkilendirme süreci, ayrıcalıklar elde etmek için kullanılabilir;
- Uygun olmayan varsayılan güvenlik ayarları SameSite'deki güvenlik açığı hassas bilgiler elde etmek için kullanılabilir;
- Skia kütüphanesindeki tamsayı taşması güvenlik açığı hizmet reddine neden olmak için uzaktan kullanılabilir.
Teknik detaylar
Güvenlik açıkları (1,13,14) sadece Mozilla Firefox'u etkiler.
Güvenlik açıkları (4,12) sadece Mozilla Firefox ve Mozilla Firefox ESR 60'ı etkiler.
Güvenlik açığı (11) yalnızca Mozilla Firefox ESR'yi etkiler.
Güvenlik açığı (12) yalnızca Windows 10 kullanıcılarını etkiler.
Orijinal öneriler
CVE Listesi
Daha fazlasını okuyun
Bölgenizde yayılan güvenlik açıklarının istatistiklerini öğrenin statistics.securelist.com