Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Risolte vulnerabilità critiche in Mozilla Firefox 68

Firefox  Mozilla   mercoledì, 10 luglio 2019

Mozilla ha rilasciato la versione 68 del suo browser Firefox per i maggiori sistemi desktop (Windows, macOS e Linux) e Android. L’aggiornamento risolve un totale di 21 vulnerabilità, di cui due critiche e 4 di gravità elevata.

Le vulnerabilità sono state identificate nelle versioni di Mozilla Firefox precedenti la 68. Lo sfruttamento delle più gravi tra queste vulnerabilità potrebbe consentire ad un utente non autorizzato di causare il crash dell’applicazione con conseguente condizione di denial of service o potenziale esecuzione di codice arbitrario. Queste vulnerabilità possono essere sfruttate se un utente visita o viene reindirizzato a una pagina Web appositamente predisposta o apre un file appositamente predisposto.

Dettagli delle vulnerabilità (in Inglese):

  • [High] Sandbox escape via installation of malicious language pack (CVE-2019-9811)
  • [High] Script injection within domain through inner window reuse (CVE-2019-11711)
  • [High] Cross-origin POST requests can be made with NPAPI plugins by following 308 redirects (CVE-2019-11712)
  • [High] Use-after-free with HTTP/2 cached stream (CVE-2019-11713)
  • [Moderate] NeckoChild can trigger crash when accessed off of main thread (CVE-2019-11714)
  • [Moderate] Empty or malformed p256-ECDH public keys may trigger a segmentation fault (CVE-2019-11729)
  • [Moderate] HTML parsing error can contribute to content XSS (CVE-2019-11715)
  • [Moderate] globalThis not enumerable until accessed (CVE-2019-11716)
  • [Moderate] Caret character improperly escaped in origins (CVE-2019-11717)
  • [Moderate] Activity Stream writes unsanitized content to innerHTML (CVE-2019-11718)
  • [Moderate] Out-of-bounds read when importing curve25519 private key (CVE-2019-11719)
  • [Moderate] Character encoding XSS vulnerability (CVE-2019-11720)
  • [Moderate] Domain spoofing through unicode latin ‘kra’ character (CVE-2019-11721)
  • [Moderate] Same-origin policy treats all files in a directory as having the same-origin (CVE-2019-11730)
  • [Low] Cookie leakage during add-on fetching across private browsing boundaries (CVE-2019-11723)
  • [Low] Retired site input.mozilla.org has remote troubleshooting permissions (CVE-2019-11724)
  • [Low] Websocket resources bypass safebrowsing protections (CVE-2019-11725)
  • [Low] PKCS#1 v1.5 signatures can be used for TLS 1.3 (CVE-2019-11727)
  • [Low] Port scanning through Alt-Svc header (CVE-2019-11728)
  • [Critical] Memory safety bugs fixed in Firefox 68 (CVE-2019-11710)
  • [Critical] Memory safety bugs fixed in Firefox 68 and Firefox ESR 60.8 (CVE-2019-11709)

Per risolvere queste vulnerabilità è necessario aggiornare Firefox alla versione 68. Mozilla ha altresì rilasciato un avviso di sicurezza separato riguardante vulnerabilità identificate in Firefox ESR (Extended Support Release). Per risolvere queste vulnerabilità è necessario aggiornare Firefox ESR alla versione 60.8.

Per maggiori informazioni è possibile consultare i seguenti avvisi di sicurezza di Mozilla (in Inglese):

Notizie correlate

Risolte vulnerabilità critiche in Mozilla Thunderbird 60.8

12 luglio 2019

Mozilla ha rilasciato un avviso di sicurezza riguardante diverse vulnerabilità, di cui una critica e altre quattro di gravità elevata, nella versione 60 del client di posta elettronica Thunderbird.Leggi tutto

Risolta vulnerabilità critica 0-day in Mozilla Thunderbird 60.7.2

1 luglio 2019

Mozilla ha rilasciato un avviso di sicurezza riguardante due vulnerabilità, di cui una critica, nella versione 60 del client di posta elettronica Thunderbird.Leggi tutto

Aggiornamento di sicurezza per Mozilla Firefox 67

1 luglio 2019

Mozilla ha rilasciato un avviso di sicurezza riguardante una vulnerabilità di gravità elevata nella versione 67 del browser Web Firefox.Leggi tutto