[TLP:CLEAR] Firefox 115.9.1 ESR a 124.0.1 opravujú kritické zraniteľnosti
O zraniteľnostiach webových prehliadačov informujeme len výnimočne, ale Firefox opravuje kritickú zraniteľnosť, umožňujúcu vzdialené vykonanie kódu, v ESR verzii 115.9.1 [2] aj v aktuálnej verzii 124.0.1, kde je opravená aj ďalšia kritická zraniteľnosť [3].
Neautentizovaný útočník môže prekonať kontrolu hraníc prístupu a tak čítať alebo meniť JavaScript objekt [1].
Zraniteľnosť sa nachádza v produkte Firefox vo verziách =124.0.0
Aktualizácia na Firefox 124.0.1
CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N
Viac informácií:
- CVE-2024-29943 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-787: Out-of-bounds Write at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 22. 3. 2024.
Neautentizovaný útočník môže injektovať spracovač udalostí do privilegovaného objektu a tak dosiahnuť vzdialené vykonanie kódu [4].
Zraniteľnosť sa nachádza v produkte Firefox vo verziách (<115.9.1) OR (>116.0.0 AND <124.0.1)
Aktualizácia na Firefox ESR 115.9.1 alebo Firefox 124.0.1
CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:L/A:L
Viac informácií:
- CVE-2024-29944 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-913: Improper Control of Dynamically-Managed Code Resources at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 22. 3. 2024.
Odkazy
Publikoval Radko Krkoš dňa 25. 3. 2024.
