Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Risolte vulnerabilità critiche in Mozilla Firefox 60

Firefox  Mozilla   giovedì, 10 maggio 2018

Mozilla ha rilasciato la versione 60 del suo browser Firefox per i maggiori sistemi desktop (Windows, macOS e Linux) e Android. L’aggiornamento risolve un totale di 26 vulnerabilità, di cui due critiche e 6 di gravità elevata.

Le vulnerabilità sono state identificate nelle versioni di Mozilla Firefox precedenti la 60. Lo sfruttamento delle più gravi tra queste vulnerabilità potrebbe consentire ad un utente non autorizzato di causare il crash dell’applicazione con conseguente condizione di denial of service o potenziale esecuzione di codice arbitrario. Queste vulnerabilità possono essere sfruttate se un utente visita o viene reindirizzato a una pagina Web appositamente predisposta o apre un file appositamente predisposto.

Dettagli delle vulnerabilità (in Inglese):

  • [High] Use-after-free with SVG animations and clip paths (CVE-2018-5154)
  • [High] Use-after-free with SVG animations and text paths (CVE-2018-5155)
  • [High] Same-origin bypass of PDF Viewer to view protected PDF files (CVE-2018-5157)
  • [High] Malicious PDF can inject JavaScript into PDF Viewer (CVE-2018-5158)
  • [High] Integer overflow and out-of-bounds write in Skia (CVE-2018-5159)
  • [High] Uninitialized memory use by WebRTC encoder (CVE-2018-5160)
  • [Moderate] WebExtensions information leak through webRequest API (CVE-2018-5152)
  • [Moderate] Out-of-bounds read in mixed content websocket messages (CVE-2018-5153)
  • [Moderate] Replacing cached data in JavaScript Start-up Bytecode Cache (CVE-2018-5163)
  • [Moderate] CSP not applied to all multipart content sent with multipart/x-mixed-replace (CVE-2018-5164)
  • [Moderate] WebExtension host permission bypass through filterReponseData (CVE-2018-5166)
  • [Moderate] Improper linkification of chrome: and javascript: content in web console and JavaScript debugger (CVE-2018-5167)
  • [Moderate] Lightweight themes can be installed without user interaction (CVE-2018-5168)
  • [Moderate] Dragging and dropping link text onto home button can set home page to include chrome pages (CVE-2018-5169)
  • [Moderate] Pasted script from clipboard can run in the Live Bookmarks page or PDF viewer (CVE-2018-5172)
  • [Moderate] File name spoofing of Downloads panel with Unicode characters (CVE-2018-5173)
  • [Moderate] Windows Defender SmartScreen UI runs with less secure behavior for downloaded files in Windows 10 April 2018 Update (CVE-2018-5174)
  • [Moderate] Universal CSP bypass on sites using strict-dynamic in their policies (CVE-2018-5175)
  • [Moderate] JSON Viewer script injection (CVE-2018-5176)
  • [Moderate] Buffer overflow in XSLT during number formatting (CVE-2018-5177)
  • [Low] Checkbox for enabling Flash protected mode is inverted in 32-bit Firefox (CVE-2018-5165)
  • [Low] heap-use-after-free in mozilla::WebGLContext::DrawElementsInstanced (CVE-2018-5180)
  • [Low] Local file can be displayed in noopener tab through drag and drop of hyperlink (CVE-2018-5181)
  • [Low] Local file can be displayed from hyperlink dragged and dropped on addressbar (CVE-2018-5182)
  • [Critical] Memory safety bugs fixed in Firefox 60 (CVE-2018-5151)
  • [Critical] Memory safety bugs fixed in Firefox 60 and Firefox ESR 52.8 (CVE-2018-5150)

Per risolvere queste vulnerabilità è necessario aggiornare Firefox alla versione 60. Mozilla ha altresì rilasciato un avviso di sicurezza separato riguardante vulnerabilità identificate in Firefox ESR (Extended Support Release). Per risolvere queste vulnerabilità è necessario aggiornare Firefox ESR alla versione 52.8.

Per maggiori informazioni è possibile consultare i seguenti avvisi di sicurezza di Mozilla (in Inglese):

Notizie correlate

Risolte vulnerabilità critiche in Mozilla Thunderbird 52.8

21 maggio 2018

Mozilla ha rilasciato un avviso di sicurezza riguardante 13 vulnerabilità, di cui due critiche e altre 4 di gravità elevata, nella versione 52 del client di posta elettronica Thunderbird.Leggi tutto

Risolte vulnerabilità critiche in Mozilla Thunderbird 52.7

28 marzo 2018

Mozilla ha rilasciato un avviso di sicurezza riguardante 6 vulnerabilità, di cui 3 critiche e altre due di gravità elevata, nella versione 52 del client di posta elettronica Thunderbird.Leggi tutto

Risolta grave vulnerabilità in Mozilla Firefox 59

28 marzo 2018

Mozilla ha rilasciato un avviso di sicurezza riguardante una vulnerabilità di gravità elevata nella versione 59 del browser Web Firefox.Leggi tutto