Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Risolte vulnerabilità critiche in Mozilla Firefox 64

Firefox  Mozilla   mercoledì, 12 dicembre 2018

Mozilla ha rilasciato la versione 64 del suo browser Firefox per i maggiori sistemi desktop (Windows, macOS e Linux) e Android. L’aggiornamento risolve un totale di 14 vulnerabilità, di cui 4 critiche e 5 di gravità elevata.

Le vulnerabilità sono state identificate nelle versioni di Mozilla Firefox precedenti la 64. Lo sfruttamento delle più gravi tra queste vulnerabilità potrebbe consentire ad un utente non autorizzato di causare il crash dell’applicazione con conseguente condizione di denial of service o potenziale esecuzione di codice arbitrario. Queste vulnerabilità possono essere sfruttate se un utente visita o viene reindirizzato a una pagina Web appositamente predisposta o apre un file appositamente predisposto.

Dettagli delle vulnerabilità (in Inglese):

  • [High] Buffer overflow with ANGLE library when using VertexBuffer11 module (CVE-2018-12407)
  • [High] Buffer overflow and out-of-bounds read in ANGLE library with TextureStorage11 (CVE-2018-17466)
  • [High] Use-after-free with select element (CVE-2018-18492)
  • [High] Buffer overflow in accelerated 2D canvas with Skia (CVE-2018-18493)
  • [High] Same-origin policy violation using location attribute and performance.getEntries to steal cross-origin URLs (CVE-2018-18494)
  • [Moderate] WebExtension content scripts can be loaded in about: pages (CVE-2018-18495)
  • [Moderate] Embedded feed preview page can be abused for clickjacking (CVE-2018-18496)
  • [Moderate] WebExtensions can load arbitrary URLs through pipe separators (CVE-2018-18497)
  • [Low] Integer overflow when calculating buffer sizes for images (CVE-2018-18498)
  • [Critical] Memory safety bugs fixed in Firefox 64 (CVE-2018-12406)
  • [Critical] Memory safety bugs fixed in Firefox 64 and Firefox ESR 60.4 (CVE-2018-12405)
  • [Low] Mixed content warning is not displayed when HTTPS page loads a favicon over HTTP (CVE-2018-12403)
  • [Critical] Memory safety bugs fixed in Firefox 63 (CVE-2018-12388)
  • [Critical] Memory safety bugs fixed in Firefox 63 and Firefox ESR 60.3 (CVE-2018-12390)

Per risolvere queste vulnerabilità è necessario aggiornare Firefox alla versione 64. Mozilla ha altresì rilasciato avvisi di sicurezza separati riguardanti vulnerabilità identificate in Firefox ESR (Extended Support Release). Per risolvere queste vulnerabilità è necessario aggiornare Firefox ESR alla versione 60.4.

Per maggiori informazioni è possibile consultare i seguenti avvisi di sicurezza di Mozilla (in Inglese):

Notizie correlate

Risolte gravi vulnerabilità in Mozilla Thunderbird 60.7.1

17 giugno 2019

Mozilla ha rilasciato un avviso di sicurezza riguardante diverse vulnerabilità di gravità elevata nella versione 60 del client di posta elettronica Thunderbird.Leggi tutto

Aggiornamento di sicurezza per Mozilla Firefox 67

12 giugno 2019

Mozilla ha rilasciato un avviso di sicurezza riguardante una vulnerabilità di media gravità nella versione 67 del browser Web Firefox.Leggi tutto

Risolte gravi vulnerabilità in Mozilla Thunderbird 60.7

23 maggio 2019

Mozilla ha rilasciato un avviso di sicurezza riguardante diverse vulnerabilità di gravità elevata nella versione 60 del client di posta elettronica Thunderbird.Leggi tutto