Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Risolte vulnerabilità critiche in Mozilla Firefox 58

Firefox  Mozilla   mercoledì, 24 gennaio 2018

Mozilla ha rilasciato la versione 58 del suo browser Firefox per i maggiori sistemi desktop (Windows, macOS e Linux) e Android. L’aggiornamento risolve un totale di 32 vulnerabilità, di cui 3 critiche e 13 di gravità elevata.

Le vulnerabilità sono state identificate nelle versioni di Mozilla Firefox precedenti la 58. Lo sfruttamento delle più gravi tra queste vulnerabilità potrebbe consentire ad un utente non autorizzato di causare il crash dell’applicazione con conseguente condizione di denial of service o potenziale esecuzione di codice arbitrario. Queste vulnerabilità possono essere sfruttate se un utente visita o viene reindirizzato a una pagina Web appositamente predisposta o apre un file appositamente predisposto.

Dettagli delle vulnerabilità (in Inglese):

  • [Critical] Use-after-free with DTMF timers (CVE-2018-5091)
  • [High] Use-after-free in Web Workers (CVE-2018-5092)
  • [High] Buffer overflow in WebAssembly during Memory/Table resizing (CVE-2018-5093)
  • [High] Buffer overflow in WebAssembly with garbage collection on uninitialized memory (CVE-2018-5094)
  • [High] Integer overflow in Skia library during edge builder allocation (CVE-2018-5095)
  • [High] Use-after-free when source document is manipulated during XSLT (CVE-2018-5097)
  • [High] Use-after-free while manipulating form input elements (CVE-2018-5098)
  • [High] Use-after-free with widget listener (CVE-2018-5099)
  • [High] Use-after-free when IsPotentiallyScrollable arguments are freed from memory (CVE-2018-5100)
  • [High] Use-after-free with floating first-letter style elements (CVE-2018-5101)
  • [High] Use-after-free in HTML media elements (CVE-2018-5102)
  • [High] Use-after-free during mouse event handling (CVE-2018-5103)
  • [High] Use-after-free during font face manipulation (CVE-2018-5104)
  • [High] WebExtensions can save and execute files on local file system without user prompts (CVE-2018-5105)
  • [Moderate] Developer Tools can expose style editor information cross-origin through service worker (CVE-2018-5106)
  • [Moderate] Printing process will follow symlinks for local file access (CVE-2018-5107)
  • [Moderate] Manually entered blob URL can be accessed by subsequent private browsing tabs (CVE-2018-5108)
  • [Moderate] Audio capture prompts and starts with incorrect origin attribution (CVE-2018-5109)
  • [Moderate] Cursor can be made invisible on OS X (CVE-2018-5110)
  • [Moderate] URL spoofing in addressbar through drag and drop (CVE-2018-5111)
  • [Moderate] Extension development tools panel can open a non-relative URL in the panel (CVE-2018-5112)
  • [Moderate] WebExtensions can load non-HTTPS pages with browser.identity.launchWebAuthFlow (CVE-2018-5113)
  • [Moderate] The old value of a cookie changed to HttpOnly remains accessible to scripts (CVE-2018-5114)
  • [Moderate] Background network requests can open HTTP authentication in unrelated foreground tabs (CVE-2018-5115)
  • [Moderate] WebExtension ActiveTab permission allows cross-origin frame content access (CVE-2018-5116)
  • [Moderate] URL spoofing with right-to-left text aligned left-to-right (CVE-2018-5117)
  • [Moderate] Activity Stream images can attempt to load local content through file: (CVE-2018-5118)
  • [Low] Reader view will load cross-origin content in violation of CORS headers (CVE-2018-5119)
  • [Low] OS X Tibetan characters render incompletely in the addressbar (CVE-2018-5121)
  • [Low] Potential integer overflow in DoCrypt (CVE-2018-5122)
  • [Critical] Memory safety bugs fixed in Firefox 58 (CVE-2018-5090)
  • [Critical] Memory safety bugs fixed in Firefox 58 and Firefox ESR 52.6 (CVE-2018-5089)

Per risolvere queste vulnerabilità è necessario aggiornare Firefox alla versione 58. Mozilla ha altresì rilasciato un avviso di sicurezza separato riguardante vulnerabilità identificate in Firefox ESR (Extended Support Release). Per risolvere queste vulnerabilità è necessario aggiornare Firefox ESR alla versione 52.6.

Per maggiori informazioni è possibile consultare i seguenti avvisi di sicurezza di Mozilla (in Inglese):

Notizie correlate

Risolte vulnerabilità critiche in Mozilla Firefox 62

6 settembre 2018

Mozilla ha rilasciato la versione 62 del suo browser Firefox per i maggiori sistemi desktop e Android. L’aggiornamento risolve un totale di 14 vulnerabilità, di cui 3 critiche e 3 di gravità elevata.Leggi tutto

Risolte vulnerabilità critiche in Mozilla Thunderbird 60

20 agosto 2018

Mozilla ha rilasciato la versione 60 del client di posta elettronica Thunderbird che risolve un totale di 14 vulnerabilità, di cui 5 critiche e altre 4 di gravità elevata.Leggi tutto

Risolte vulnerabilità critiche in Mozilla Thunderbird 52.9

4 luglio 2018

Mozilla ha rilasciato un avviso di sicurezza riguardante 12 vulnerabilità, di cui tre critiche e altre 5 di gravità elevata, nella versione 52 del client di posta elettronica Thunderbird.Leggi tutto