[TLP:CLEAR] Mozilla Firefox opravuje 9 zraniteľností
Mozilla verziami 130, 128.2 (ESR), 115.15 (ESR) opravuje 9 zraniteľností v produkte Firefox [2][3][4]. Z operačných systémov zraniteľnosti opravil Debian (niektoré vydania) [8], Slackware [9], Gentoo má niektoré opravené verzie dostupné ako stabilné a niektoré ako testovacie [10] a Ubuntu vydalo opravenú verziu 130.0+build2-0ubuntu0.20.04.1 pre vydanie focal, zvyšné vydania zraniteľnosťami nie sú postihnuté [11]. Nižšie sú uvedené iba najzávažnejšie zraniteľnosti. Detailný výpis zraniteľných verzií u každej zraniteľnosti je možné nájsť na stránke VA2AM. Jednotlivé vydania Debianu a opravené verzie: bullseye (security) - 115.15.0esr-1~deb11u1 bookworm (security) - 115.15.0esr-1~deb12u1 sid, trixie - 115.15.0esr-1 sid - 130.0-2
Neautentizovanému vzdialenému útočníkovi je umožnené neoprávnene pristupovať do pamäte, čím môže dôjsť k poškodeniu dát, neoprávnenému čítaniu informácií, DoS útoku a potenciálne k spúšťaniu kódu [1][2][3][4].
Zraniteľnosť sa nachádza v produkte Firefox vo verziách (>=115 AND <115.5) OR (>=128 AND <128.2) OR (>=129 AND <130)
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2024-8381 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-843: Access of Resource Using Incompatible Type ('Type Confusion') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 3. 9. 2024.
Neautentizovanému vzdialenému útočníkovi je umožnené neoprávnene pristupovať do pamäte, čím môže dôjsť k poškodeniu dát, neoprávnenému čítaniu informácií, DoS útoku a potenciálne k spúšťaniu kódu [5][2][3][4].
Zraniteľnosť sa nachádza v produkte Firefox vo verziách (>=128 AND <128.2) OR (>=129 AND <130)
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2024-8385 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-843: Access of Resource Using Incompatible Type ('Type Confusion') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 3. 9. 2024.
Neautentizovanému vzdialenému útočníkovi je umožnené poškodiť dáta v pamäti a potenciálne spôsobiť neoprávnené spúšťanie kódu [6][2][3][4].
Zraniteľnosť sa nachádza v produkte Firefox vo verziách (>=128 AND <128.2) OR (>=129 AND <130)
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2024-8387 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 3. 9. 2024.
Neautentizovanému vzdialenému útočníkovi je umožnené poškodiť dáta v pamäti a potenciálne spôsobiť neoprávnené spúšťanie kódu [7][2][3][4].
Zraniteľnosť sa nachádza v produkte Firefox vo verziách >=129 AND <130
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2024-8389 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 3. 9. 2024.
Odkazy
- [1] https://nvd.nist.gov/vuln/detail/CVE-2024-8381
- [2] https://www.mozilla.org/en-US/security/advisories/mfsa2024-41/
- [3] https://www.mozilla.org/en-US/security/advisories/mfsa2024-40/
- [4] https://www.mozilla.org/en-US/security/advisories/mfsa2024-39/
- [5] https://nvd.nist.gov/vuln/detail/CVE-2024-8385
- [6] https://nvd.nist.gov/vuln/detail/CVE-2024-8387
- [7] https://nvd.nist.gov/vuln/detail/CVE-2024-8389
- [8] https://security-tracker.debian.org/tracker/source-package/firefox
- [9] http://www.slackware.com/security/viewer.php?l=slackware-security&y=2024&m=slackware-security.377367
- [10] https://packages.gentoo.org/packages/www-client/firefox
- [11] https://ubuntu.com/security/CVE-2024-8381
Publikoval Martin Krajči dňa 10. 9. 2024.
