آسیب پذیری خطرناک در mozilla firefox
26 آسیب پذیری mozilla firefox ژوئن 2018 بنیاد mozilla وصله هایی امنیتی برای آسیب پذیری های روز صفر را منتشر کرد .
توصیه میشود که مرورگر خود را به یکی از نسخههایFirefox 61،Firefox ESR 52.9، Firefox ESR 60.1 ارتقا دهید.
دو آسیب پذیری بحرانی با کد هایCVE-2018-12359 وCVE-2018-12360 می توانند به مهاجم این امکان را بدهند که از راه دور کنترل کامپیوتر و مرورگر را به دست بگیرند.
آسیب پذیری اول از نوع use-after-free در تابع focus() است و آسیب پذیری دوم در کتابخانه SwizzleData است که از نوع integer overflow است.
همچنین چندین آسیب پذیری بحرانی و خطرناک دیگر نیز در این وصله ها ترمیم شدند.
لیست آسیب پذیری های وصله شده :
|
درجه اهمیت
|
کد آسیب پذیری
|
توضیح
|
|
بحرانی
|
CVE-2018-12359
|
buffer overflow در زمان رندر محتویcanvas
|
|
بحرانی
|
CVE-2018-12360
|
use-after-freeدر تابع focus()
|
|
بحرانی
|
CVE-2018-12361
|
integer overflow درSwizzleData
|
|
بحرانی
|
CVE-2018-5186
|
memory corruption
|
|
بحرانی
|
CVE-2018-5187
|
memory corruption
|
|
بحرانی
|
CVE-2018-5188
|
memory corruption
|
|
بالا
|
CVE-2018-12358
|
دور زدن Same-origin
|
|
بالا
|
CVE-2018-12362
|
integer overflow در SSSE3
|
|
بالا
|
CVE-2018-12363
|
use-after-free در زمان ساختن نود های DOM
|
|
بالا
|
CVE-2018-12364
|
CSRF به وسیله ی NPAPI plugin مانند Adobe Flash
|
|
بالا
|
CVE-2018-5156
|
segmentation fault در Media recorder
|
|
متوسط
|
CVE-2018-12365
|
افشاء فایل های محلی
|
|
متوسط
|
CVE-2018-12366
|
Invalid data handling
|
|
متوسط
|
CVE-2018-12367
|
PerformanceNavigationTiming می توانست برای استفاده از آسیب پذیری هایی مثل Spectre مورد استفاده قرار بگیرد
|
|
متوسط
|
CVE-2018-12368
|
نشان ندادن اخطار در هنگام باز کردن فایل های SettingContent-ms
|
|
متوسط
|
CVE-2018-12369
|
WebExtensions می تواند مجوز های دسترسی را دور بزند
|
|
متوسط
|
CVE-2018-12371 |
integer overflow درSkia library
|
|
کم
|
CVE-2018-12370
|
در زمان خارج شدن از Reader Viewمحافظت های SameSite cookieدور زده می شود
|
منبع : https://www.mozilla.org/en-US/security/advisories/mfsa2018-16/
