KLA11271
Mozilla Firefox ve Mozilla Firefox ESR'deki birden fazla güvenlik açığı

Mozilla Firefox ve Mozilla Firefox ESR'de birden fazla ciddi güvenlik açığı bulundu. Kötü amaçlı kullanıcılar, güvenlik açıklarını atlamak, keyfi kod çalıştırmak, hizmet reddine ve hassas bilgileri elde etmek için bu güvenlik açıklarından yararlanabilir.

Aşağıda güvenlik açıklarının tam listesi:

1. Mozilla Firefox'ta yanlış yönlendirme işlemi, hassas bilgiler elde etmek için özel olarak tasarlanmış web sitesi aracılığıyla uzaktan kullanılabilir;
2. Tuvalin oluşturulmasında oluşan arabellek taşması güvenlik açığı, hizmet reddine neden olmak için özel olarak tasarlanmış web sitesi aracılığıyla uzaktan kullanılabilir.
3. Eleman silme işleminde ortaya çıkan serbest-kullanım-sonrası savunmasızlık, hizmet reddine neden olmak için özel olarak tasarlanmış web sitesi aracılığıyla uzaktan kullanılabilir;
4. SwizzleData'daki tamsayı taşması güvenlik açığı, hizmet reddine neden olmak için özel olarak tasarlanmış web sitesi aracılığıyla uzaktan kullanılabilir;
5. SSSE3 ölçekleyicideki tamsayı taşması güvenlik açığı, hizmet reddine neden olmak için özel olarak tasarlanmış web sitesi aracılığıyla uzaktan kullanılabilir;
6. Belgeler arasındaki DOM düğümlerinin taşınmasında ortaya çıkan serbest-kullanım-sonrası açıklık, hizmet reddine neden olmak için özel olarak tasarlanmış web sitesi aracılığıyla uzaktan kullanılabilir;
7. NPAPI eklentilerinde yanlış isteklerin ele alınması, hassas bilgiler elde etmek için özel olarak tasarlanmış web sitesi aracılığıyla uzaktan kullanılabilir.
8. IPC sanal alan güvenlik politikasındaki güvenlik açığı, hassas bilgiler elde etmek için özel olarak tasarlanmış web sitesi aracılığıyla uzaktan kullanılabilir.
9. QCMS'deki sınırların okunmamış güvenlik açığı, hassas bilgiler elde etmek için özel olarak tasarlanmış web sitesi aracılığıyla uzaktan kullanılabilir.
10. PerformanceNavigationTiming yöntemiyle ilgili güvenlik açığı, Specter azaltma işlemlerini atlatmak için kullanılabilir;
11. Tarayıcı ile ilgili güvenlik açığı, SetupContent-ms uzantısıyla çalıştırılabilir dosyalar açılırken kullanıcıları uyarmaz;
12. WebExtensions'ta uygunsuz yetkilendirme süreci, ayrıcalıklar elde etmek için kullanılabilir;
13. Uygun olmayan varsayılan güvenlik ayarları SameSite'deki güvenlik açığı hassas bilgiler elde etmek için kullanılabilir;
14. Skia kütüphanesindeki tamsayı taşması güvenlik açığı hizmet reddine neden olmak için uzaktan kullanılabilir.

Teknik detaylar

Güvenlik açıkları (1,13,14) sadece Mozilla Firefox'u etkiler.

Güvenlik açıkları (4,12) sadece Mozilla Firefox ve Mozilla Firefox ESR 60'ı etkiler.

Güvenlik açığı (11) yalnızca Mozilla Firefox ESR'yi etkiler.

Güvenlik açığı (12) yalnızca Windows 10 kullanıcılarını etkiler.

Mozilla Firefox 61'den önceki
Mozilla Firefox ESR 52, 52.9'dan önceki
Mozilla Firefox ESR 60 60.1'den eski

En son sürüme güncelle
Mozilla Firefox ESR indirin
Mozilla Firefox'u İndirin

Mozilla Foundation Security Advisory 2018-16
Mozilla Foundation Security Advisory 2018-15
Mozilla Foundation Security Advisory 2018-17

CVE-2018-5188
CVE-2018-5187
CVE-2018-5186
CVE-2018-5156
CVE-2018-12371
CVE-2018-12370
CVE-2018-12369
CVE-2018-12368
CVE-2018-12367
CVE-2018-12366
CVE-2018-12365
CVE-2018-12364
CVE-2018-12363
CVE-2018-12362
CVE-2018-12361
CVE-2018-12360
CVE-2018-12359
CVE-2018-12358