BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

KLA11271
Mozilla Firefox ve Mozilla Firefox ESR'deki birden fazla güvenlik açığı
Yüklendi : 07/05/2018
CVSS
?
10.0
Bulunma tarihi
?
06/26/2018
Şiddet
?
Kritik
Açıklama

Mozilla Firefox ve Mozilla Firefox ESR'de birden fazla ciddi güvenlik açığı bulundu. Kötü amaçlı kullanıcılar, güvenlik açıklarını atlamak, keyfi kod çalıştırmak, hizmet reddine ve hassas bilgileri elde etmek için bu güvenlik açıklarından yararlanabilir.

Aşağıda güvenlik açıklarının tam listesi:

  1. Mozilla Firefox'ta yanlış yönlendirme işlemi, hassas bilgiler elde etmek için özel olarak tasarlanmış web sitesi aracılığıyla uzaktan kullanılabilir;
  2. Tuvalin oluşturulmasında oluşan arabellek taşması güvenlik açığı, hizmet reddine neden olmak için özel olarak tasarlanmış web sitesi aracılığıyla uzaktan kullanılabilir.
  3. Eleman silme işleminde ortaya çıkan serbest-kullanım-sonrası savunmasızlık, hizmet reddine neden olmak için özel olarak tasarlanmış web sitesi aracılığıyla uzaktan kullanılabilir;
  4. SwizzleData'daki tamsayı taşması güvenlik açığı, hizmet reddine neden olmak için özel olarak tasarlanmış web sitesi aracılığıyla uzaktan kullanılabilir;
  5. SSSE3 ölçekleyicideki tamsayı taşması güvenlik açığı, hizmet reddine neden olmak için özel olarak tasarlanmış web sitesi aracılığıyla uzaktan kullanılabilir;
  6. Belgeler arasındaki DOM düğümlerinin taşınmasında ortaya çıkan serbest-kullanım-sonrası açıklık, hizmet reddine neden olmak için özel olarak tasarlanmış web sitesi aracılığıyla uzaktan kullanılabilir;
  7. NPAPI eklentilerinde yanlış isteklerin ele alınması, hassas bilgiler elde etmek için özel olarak tasarlanmış web sitesi aracılığıyla uzaktan kullanılabilir.
  8. IPC sanal alan güvenlik politikasındaki güvenlik açığı, hassas bilgiler elde etmek için özel olarak tasarlanmış web sitesi aracılığıyla uzaktan kullanılabilir.
  9. QCMS'deki sınırların okunmamış güvenlik açığı, hassas bilgiler elde etmek için özel olarak tasarlanmış web sitesi aracılığıyla uzaktan kullanılabilir.
  10. PerformanceNavigationTiming yöntemiyle ilgili güvenlik açığı, Specter azaltma işlemlerini atlatmak için kullanılabilir;
  11. Tarayıcı ile ilgili güvenlik açığı, SetupContent-ms uzantısıyla çalıştırılabilir dosyalar açılırken kullanıcıları uyarmaz;
  12. WebExtensions'ta uygunsuz yetkilendirme süreci, ayrıcalıklar elde etmek için kullanılabilir;
  13. Uygun olmayan varsayılan güvenlik ayarları SameSite'deki güvenlik açığı hassas bilgiler elde etmek için kullanılabilir;
  14. Skia kütüphanesindeki tamsayı taşması güvenlik açığı hizmet reddine neden olmak için uzaktan kullanılabilir.

Teknik detaylar

Güvenlik açıkları (1,13,14) sadece Mozilla Firefox'u etkiler.

Güvenlik açıkları (4,12) sadece Mozilla Firefox ve Mozilla Firefox ESR 60'ı etkiler.

Güvenlik açığı (11) yalnızca Mozilla Firefox ESR'yi etkiler.

Güvenlik açığı (12) yalnızca Windows 10 kullanıcılarını etkiler.

Etkilenmiş ürünler

Mozilla Firefox 61'den önceki
Mozilla Firefox ESR 52, 52.9'dan önceki
Mozilla Firefox ESR 60 60.1'den eski

Çözüm

En son sürüme güncelle
Mozilla Firefox ESR indirin
Mozilla Firefox'u İndirin

Orijinal öneriler

Mozilla Foundation Security Advisory 2018-16
Mozilla Foundation Security Advisory 2018-15
Mozilla Foundation Security Advisory 2018-17

Etkiler
?
ACE 
[?]

OSI 
[?]

SB 
[?]

PE 
[?]

DoS 
[?]
Alakalı ürünler
Mozilla Firefox ESR
Mozilla Firefox
CVE-IDS
?

CVE-2018-5188
CVE-2018-5187
CVE-2018-5186
CVE-2018-5156
CVE-2018-12371
CVE-2018-12370
CVE-2018-12369
CVE-2018-12368
CVE-2018-12367
CVE-2018-12366
CVE-2018-12365
CVE-2018-12364
CVE-2018-12363
CVE-2018-12362
CVE-2018-12361
CVE-2018-12360
CVE-2018-12359
CVE-2018-12358


Orijinaline link