Множественные уязвимости в Mozilla Firefox

Рекомендуем почитать:

Xakep #299. Sysmon

Программа: Mozilla Firefox 3.x

Найденные уязвимости позволяют удаленному злоумышленнику обойти ограничения
безопасности, получить доступ к конфиденциальной информации, осуществить DoS
атаку и выполнить произвольный код на целевой системе.

1) Уязвимость возникает из-за ошибки в проверке входных данных при обработке
"file:" URI. Атакующий может обманным образом заставить пользователя открыть
злонамеренный локальный файл, первоначальный открытый для "chrome:" документа
или привилегированного "about:" URI, что позволит выполнить произвольный
JavaScript код с привилегиями chrome.

2) Уязвимость возникает из-за ошибки в layout движке. Атакующий может
выполнить произвольный код на целевой системе.

3) Уязвимость возникает из-за ошибки в движке браузера. Атакующий может
передать специально сформированные данные, что приведет к отказу системы в
обслуживании и выполнению произвольного кода.

4) Уязвимость возникает из-за ошибки в JavaScript движке. Атакующий может
выполнить произвольный код на целевой системе.

5) Уязвимость возникает из-за ошибки в функциональности восстановления в
браузере. Атакующий может выполнить JavaScript код в контексте безопасности
другого сайта.

6) Уязвимость возникает из-за ошибки в проверке входных данных при обработке
"http-index-format" MIME типа данных. Атакующий может передать специально
сформированную строку заголовка 200 в HTTP индекс ответе, что приведет к
выполнению произвольного кода.

7) Уязвимость возникает из-за ошибки в DOM коде. Атакующий может изменить
определенные свойства элемента ввода файла до того, как элемент закончил
инициализацию, что приведет к выполнению произвольного кода.

8 ) Уязвимость возникает из-за ошибки в реализации "nsXMLHttpRequest::NotifyEventListeners()"
метода. Атакующий может выполнить JavaScript код в контексте безопасности
другого сайта.

9) Уязвимость возникает из-за ошибки в обработке CSS свойства "-moz-binding".
Атакующий может манипулировать JAR файлами для выполнения JavaScript кода в
контексте безопасности другого сайта.

10) Уязвимость возникает из-за ошибки в обработке пространств имен XML по
умолчанию в E4X документе. Атакующий может передать специально сформированное
пространство имен, содержащее символы кавычек, что позволит выполнить
произвольный XML код.

Множественные уязвимости в Mozilla Firefox

Xakep #299. Sysmon

Подпишись на наc в Telegram!

Из рубрики «Взлом»

WinAPI днем и ночью. Ищем способы обращения к нативному коду из C#

Обзор перспективных исследований. Колонка Дениса Макрушина

HTB Hospital. Получаем доступ к хосту через уязвимость Ghostscript

EIGRP Scam. Отравляем таблицу маршрутизации на Python

Трюки

Липовый соникс. Реверсим картридж Liposonix и пишем его эмулятор

Новая диета для Linux. Загружаем современный Linux, используя минимум памяти

Фишинг в соцсетях. Как социальные сети помогают хакерам

Сделай мне красиво! Изобретаем персональный нейросетевой фотоувеличитель

Последние новости

Microsoft случайно добавила Copilot в Windows Server

GPT-4 может эксплуатировать уязвимости, изучив связанные бюллетени безопасности

Cisco патчит уязвимость повышения привилегий в IMC

Стал доступен API для Stable Diffusion 3

Группа Core Werewolf попыталась атаковать российскую военную базу