Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Risolte vulnerabilità critiche in Mozilla Firefox 54

Firefox  Mozilla   mercoledì, 14 giugno 2017

Mozilla ha rilasciato la versione 54 del suo browser Firefox per i maggiori sistemi desktop (Windows, macOS e Linux) e Android. L’aggiornamento risolve un totale di 25 vulnerabilità, di cui 3 critiche e 12 di gravità elevata.

Le vulnerabilità sono state identificate nelle versioni di Mozilla Firefox precedenti la 54. Lo sfruttamento delle più gravi tra queste vulnerabilità potrebbe consentire ad un utente non autorizzato di causare il crash dell’applicazione con conseguente condizione di denial of service o potenziale esecuzione di codice arbitrario. Queste vulnerabilità possono essere sfruttate se un utente visita o viene reindirizzato a una pagina Web appositamente predisposta o apre un file appositamente predisposto.

Dettagli delle vulnerabilità (in Inglese):

  • [Critical] Use-after-free using destroyed node when regenerating trees (CVE-2017-5472)
  • [High] Use-after-free during docshell reloading (CVE-2017-7749)
  • [High] Use-after-free with track elements (CVE-2017-7750)
  • [High] Use-after-free with content viewer listeners (CVE-2017-7751)
  • [Moderate] Use-after-free with IME input (CVE-2017-7752)
  • [High] Out-of-bounds read in WebGL with ImageInfo object (CVE-2017-7754)
  • [High] Privilege escalation through Firefox Installer with same directory DLL files (CVE-2017-7755)
  • [High] Use-after-free and use-after-scope logging XHR header errors (CVE-2017-7756)
  • [High] Use-after-free in IndexedDB (CVE-2017-7757)
  • [High] Vulnerabilities in the Graphite 2 library (CVE-2017-7778)
  • [High] Out-of-bounds read in Opus encoder (CVE-2017-7758)
  • [High] Android intent URLs can cause navigation to local file system (CVE-2017-7759)
  • [High] File manipulation and privilege escalation via callback parameter in Mozilla Windows Updater and Maintenance Service (CVE-2017-7760)
  • [Moderate] File deletion and privilege escalation through Mozilla Maintenance Service helper.exe application (CVE-2017-7761)
  • [Moderate] Addressbar spoofing in Reader mode (CVE-2017-7762)
  • [Moderate] Mac fonts render some unicode characters as spaces (CVE-2017-7763)
  • [Moderate] Domain spoofing with combination of Canadian Syllabics and other unicode blocks (CVE-2017-7764)
  • [Moderate] Mark of the Web bypass when saving executable files (CVE-2017-7765)
  • [High] File execution and privilege escalation through updater.ini, Mozilla Windows Updater, and Mozilla Maintenance Service (CVE-2017-7766)
  • [Moderate] Privilege escalation and arbitrary file overwrites through Mozilla Windows Updater and Mozilla Maintenance Service (CVE-2017-7767)
  • [Moderate] 32 byte arbitrary file read through Mozilla Maintenance Service (CVE-2017-7768)
  • [Moderate] Addressbar spoofing with JavaScript events and fullscreen mode (CVE-2017-7770)
  • [Critical] Memory safety bugs fixed in Firefox 54 (CVE-2017-5471)
  • [Critical] Memory safety bugs fixed in Firefox 54 and Firefox ESR 52.2 (CVE-2017-5470)

Per risolvere queste vulnerabilità è necessario aggiornare Firefox alla versione 54. Mozilla ha altresì rilasciato un avviso di sicurezza separato riguardante vulnerabilità identificate in Firefox ESR (Extended Support Release). Per risolvere queste vulnerabilità è necessario aggiornare Firefox ESR alla versione 52.2.

Per maggiori informazioni è possibile consultare i seguenti avvisi di sicurezza di Mozilla (in Inglese):

Notizie correlate

Risolte vulnerabilità critiche in Mozilla Thunderbird 52.2

16 giugno 2017

Mozilla ha rilasciato un avviso di sicurezza riguardante diverse vulnerabilità, di cui due critiche e altre 8 di gravità elevata, nella versione 52 del client di posta elettronica Thunderbird.Leggi tutto

Risolta grave vulnerabilità in Mozilla Firefox

8 maggio 2017

Mozilla ha rilasciato un avviso di sicurezza riguardante una vulnerabilità di gravità elevata nella versione 53 del browser Web Firefox.Leggi tutto

Risolte vulnerabilità critiche in Mozilla Thunderbird 52.1

8 maggio 2017

Mozilla ha rilasciato un avviso di sicurezza riguardante diverse vulnerabilità, di cui 8 critiche e altre 17 di gravità elevata, nella versione 52 del client di posta elettronica Thunderbird.Leggi tutto