Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Risolte vulnerabilità critiche in Mozilla Firefox 69

Firefox  Mozilla   mercoledì, 4 settembre 2019

Mozilla ha rilasciato la versione 69 del suo browser Firefox per i maggiori sistemi desktop (Windows, macOS e Linux) e Android. L’aggiornamento risolve un totale di 20 vulnerabilità, di cui una critica e 11 di gravità elevata.

Le vulnerabilità sono state identificate nelle versioni di Mozilla Firefox precedenti la 69. Lo sfruttamento delle più gravi tra queste vulnerabilità potrebbe consentire ad un utente non autorizzato di causare il crash dell’applicazione con conseguente condizione di denial of service o potenziale esecuzione di codice arbitrario. Queste vulnerabilità possono essere sfruttate se un utente visita o viene reindirizzato a una pagina Web appositamente predisposta o apre un file appositamente predisposto.

Dettagli delle vulnerabilità (in Inglese):

  • [Critical] Malicious code execution through command line parameters (CVE-2019-11751)
  • [High] Use-after-free while manipulating video (CVE-2019-11746)
  • [High] XSS by breaking out of title and textarea elements using innerHTML (CVE-2019-11744)
  • [High] Same-origin policy violation with SVG filters and canvas to steal cross-origin images (CVE-2019-11742)
  • [High] File manipulation and privilege escalation in Mozilla Maintenance Service (CVE-2019-11736)
  • [High] Privilege escalation with Mozilla Maintenance Service in custom Firefox installation location (CVE-2019-11753)
  • [High] Use-after-free while extracting a key value in IndexedDB (CVE-2019-11752)
  • [High] Sandbox escape through Firefox Sync (CVE-2019-9812)
  • [High] Isolate addons.mozilla.org and accounts.firefox.com (CVE-2019-11741)
  • [Moderate] Cross-origin access to unload event attributes (CVE-2019-11743)
  • [Moderate] Persistence of WebRTC permissions in a third party context (CVE-2019-11748)
  • [Moderate] Camera information available without prompting using getUserMedia (CVE-2019-11749)
  • [Moderate] Out-of-bounds read in Skia (CVE-2019-5849)
  • [Moderate] Type confusion in Spidermonkey (CVE-2019-11750)
  • [Low] Content security policy directives ignore port and path if host is a wildcard (CVE-2019-11737)
  • [Low] Content security policy bypass through hash-based sources in directives (CVE-2019-11738)
  • [Low] Forget about this site’ removes sites from pre-loaded HSTS list (CVE-2019-11747)
  • [High] Memory safety bugs fixed in Firefox 69 (CVE-2019-11734)
  • [High] Memory safety bugs fixed in Firefox 69 and Firefox ESR 68.1 (CVE-2019-11735)
  • [High] Memory safety bugs fixed in Firefox 69, Firefox ESR 68.1, and Firefox ESR 60.9 (CVE-2019-11740)

Per risolvere queste vulnerabilità è necessario aggiornare Firefox alla versione 69. Mozilla ha altresì rilasciato un avviso di sicurezza separato riguardante vulnerabilità identificate in Firefox ESR (Extended Support Release). Per risolvere queste vulnerabilità è necessario aggiornare Firefox ESR alla versione 60.9 o alla 68.1.

Per maggiori informazioni è possibile consultare i seguenti avvisi di sicurezza di Mozilla (in Inglese):

Notizie correlate

Risolte gravi vulnerabilità in Mozilla Thunderbird 68.3

5 dicembre 2019

Mozilla ha rilasciato un avviso di sicurezza riguardante diverse vulnerabilità, di cui 6 di gravità elevata, nella versione 68 del client di posta elettronica Thunderbird.Leggi tutto

Risolte gravi vulnerabilità in Mozilla Firefox 71

5 dicembre 2019

Mozilla ha rilasciato la versione 71 del suo browser Firefox per i maggiori sistemi desktop e Android. L’aggiornamento risolve un totale di 11 vulnerabilità di cui 6 di gravità elevata.Leggi tutto

Risolte vulnerabilità critiche in Mozilla Thunderbird 68.2

25 ottobre 2019

Mozilla ha rilasciato un avviso di sicurezza riguardante diverse vulnerabilità, di cui una critica e altre tre di gravità elevata, nella versione 66 del client di posta elettronica Thunderbird.Leggi tutto