Mozilla Firefox hibajavítások

CH azonosító

CH-12560

Angol cím

Mozilla Firefox patches

Felfedezés dátuma

2015.08.27.

Súlyosság

Magas

Érintett rendszerek

Firefox
Mozilla

Érintett verziók

40.0.3 vagy ESR 38.2.1 előtti verziók.

Összefoglaló

A Mozilla Firefox két fontos biztonsági hibajavítással gyarapodott. Ezek jogosulatlan távoli műveletvégrehajtásra, valamint biztonsági megkötések megkerülésére adhatnak lehetőséget.

Leírás

Az egyik biztonsági rés speciálisan összeállított “data:” URL-ekkel válhat kihasználhatóvá, és lehetőség ad a bővítmények telepítésekor szokásos módon megjelenő figyelmeztetések kiiktatására. Ennek következtében nem megbízható forrásból is felkerülhetnek kiegészítők a számítógépre.

A másik sérülékenység az átméretezéshez használt (resize) esemény kapcsán merült fel, és speciálisan szerkesztett canvas tagekkel válhat kihasználhatóvá. Amikor egy ilyen elemet tartalmazó weboldalt letölt a felhasználó, akkor memóriakezelési hiba lép fel, ami tetszőleges kódok futtatását segítheti elő.

Megoldás

A Firefox 40.0.3 vagy az ESR 38.2.1 verziói már nem tartalmazzák a fenti sérülékenységeket.