Mozilla Firefox, Firefox ESR a Thunderbird opravujú 21 zraniteľností

Připadá Vám tento report dobře zpracovaný? *

Ano

Používáte tuto technologii? *

Ano

Byl pro Vás tento report užitečný?

Ano

Budeme rádi, pokud se rozepíšete:

Bezpečnostní služby poskytované organizací CESNET jsou navrženy jako významná podpora při zajišťování kybernetické bezpečnosti připojených organizací. Přestože usilujeme o poskytování kvalitních a spolehlivých služeb, není možné garantovat absolutní pokrytí všech bezpečnostních zranitelností. Naše služby by měly být vnímány jako doplněk k vlastnímu bezpečnostnímu řízení organizací, nikoli jako jeho náhrada. Klient nese konečnou odpovědnost za zabezpečení svého prostředí.

[TLP:CLEAR] Mozilla Firefox, Firefox ESR a Thunderbird opravujú 21 zraniteľností

Mozilla opravuje 21 zraniteľností. Najzávažnejšie sú uvedené nižšie. Jednotlivé produkty a ich opravené verzie: Firefox - 141 [7] Firefox ESR - 115.26, 128.13, 140.1 [4][5][6] Thunderbird - 128.13, 140.1, 141 [1][2][3]

Mozilla Firefox, Firefox ESR, Thunderbird - data leak (CVE-2025-8027) CVSS 6.5 (Medium)

Neautentizovanému vzdialenému útočníkovi je umožnené u obete neoprávnene pristupovať k dátam z pamäte zobrazením špeciálne vytvorenej stránky. Zraniteľnosť je zneužiteľná iba na 64 bitovej platforme [1][2][3][4][5][6][7].

Zraniteľnosť sa nachádza v produktoch:

Mozilla Thunderbird vo verziách (>=140 AND <140.1) OR (>=128 AND 13)
Mozilla Firefox ESR vo verziách (>=115 AND <115.26) OR (>=128 AND <128.13) OR (>=140 AND <140.1)
Mozilla Firefox vo verziách >=140 AND <141

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N

Viac informácií:

CVE-2025-8027 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-131: Incorrect Calculation of Buffer Size at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 22. 7. 2025.

Mozilla Firefox, Firefox ESR, Thunderbird - memory address miscalculation (CVE-2025-8028) CVSS 8.8 (High)

Neautentizovanému vzdialenému útočníkovi je umožnené u obete spôsobiť pád prehliadača a potenciálne aj vykonávať kód zobrazením špeciálne vytvorenej stránky. Zraniteľnosť je zneužiteľná iba na systémoch s architektúrou ARM64 [1][2][3][4][5][6][7].

Zraniteľnosť sa nachádza v produktoch:

Mozilla Thunderbird vo verziách (>=140 AND <140.1) OR (>=128 AND 13)
Mozilla Firefox ESR vo verziách (>=115 AND <115.26) OR (>=128 AND <128.13) OR (>=140 AND <140.1)
Mozilla Firefox vo verziách >=140 AND <141

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Viac informácií:

CVE-2025-8028 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-682: Incorrect Calculation at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 22. 7. 2025.

Mozilla Firefox, Firefox ESR, Thunderbird - memory corruption (CVE-2025-8034) CVSS 8.8 (High)

Neautentizovanému vzdialenému útočníkovi je umožnené spôsobiť poškodenie dát v pamäti a potenciálne vykonávať kód [1][2][3][4][5][6][7].

Zraniteľnosť sa nachádza v produktoch:

Mozilla Thunderbird vo verziách (>=140 AND <140.1) OR (>=128 AND <128 AND 13)
Mozilla Firefox ESR vo verziách (>=115 AND <115.26) OR (>=128 AND <128.13) OR (>=140 AND <140.1)
Mozilla Firefox vo verziách >=140 AND <141

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Viac informácií:

CVE-2025-8034 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 22. 7. 2025.

Odkazy

Za CESNET-CERTS Martin Krajči dňa 24. 7. 2025.

Zpětná vazba k reportu

[TLP:CLEAR] Mozilla Firefox, Firefox ESR a Thunderbird opravujú 21 zraniteľností

Mozilla Firefox, Firefox ESR, Thunderbird - data leak (CVE-2025-8027) CVSS 6.5 (Medium)

Mozilla Firefox, Firefox ESR, Thunderbird - memory address miscalculation (CVE-2025-8028) CVSS 8.8 (High)

Mozilla Firefox, Firefox ESR, Thunderbird - memory corruption (CVE-2025-8034) CVSS 8.8 (High)

Odkazy