Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Risolte vulnerabilità critiche in Mozilla Firefox 67

Firefox  Mozilla   mercoledì, 22 maggio 2019

Mozilla ha rilasciato la versione 67 del suo browser Firefox per i maggiori sistemi desktop (Windows, macOS e Linux) e Android. L’aggiornamento risolve un totale di 21 vulnerabilità, di cui due critiche e 11 di gravità elevata.

Le vulnerabilità sono state identificate nelle versioni di Mozilla Firefox precedenti la 67. Lo sfruttamento delle più gravi tra queste vulnerabilità potrebbe consentire ad un utente non autorizzato di causare il crash dell’applicazione con conseguente condizione di denial of service o potenziale esecuzione di codice arbitrario. Queste vulnerabilità possono essere sfruttate se un utente visita o viene reindirizzato a una pagina Web appositamente predisposta o apre un file appositamente predisposto.

Dettagli delle vulnerabilità (in Inglese):

  • [High] Disable hyperthreading on content JavaScript threads on macOS (CVE-2019-9815)
  • [High] Type confusion with object groups and UnboxedObjects (CVE-2019-9816)
  • [High] Stealing of cross-domain images using canvas (CVE-2019-9817)
  • [High] Use-after-free in crash generation server (CVE-2019-9818)
  • [High] Compartment mismatch with fetch API (CVE-2019-9819)
  • [High] Use-after-free of ChromeEventHandler by DocShell (CVE-2019-9820)
  • [High] Use-after-free in AssertWorkerThread (CVE-2019-9821)
  • [High] Use-after-free in XMLHttpRequest (CVE-2019-11691)
  • [High] Use-after-free removing listeners in the event listener manager (CVE-2019-11692)
  • [High] Buffer overflow in WebGL bufferdata on Linux (CVE-2019-11693)
  • [High] Use-after-free in png_image_free of libpng library (CVE-2019-7317)
  • [Moderate] Uninitialized memory memory leakage in Windows sandbox (CVE-2019-11694)
  • [Moderate] Custom cursor can render over user interface outside of web content (CVE-2019-11695)
  • [Moderate] Java web start .JNLP files are not recognized as executable files for download prompts (CVE-2019-11696)
  • [Moderate] Pressing key combinations can bypass installation prompt delays and install extensions (CVE-2019-11697)
  • [Moderate] Theft of user history data through drag and drop of hyperlinks to and from bookmarks (CVE-2019-11698)
  • [Moderate] res: protocol can be used to open known local files (CVE-2019-11700)
  • [Low] Incorrect domain name highlighting during page navigation (CVE-2019-11699)
  • [Low] webcal: protocol default handler loads vulnerable web page (CVE-2019-11701)
  • [Critical] Memory safety bugs fixed in Firefox 67 (CVE-2019-9814)
  • [Critical] Memory safety bugs fixed in Firefox 67 and Firefox ESR 60.7 (CVE-2019-9800)

Per risolvere queste vulnerabilità è necessario aggiornare Firefox alla versione 67. Mozilla ha altresì rilasciato un avviso di sicurezza separato riguardante vulnerabilità identificate in Firefox ESR (Extended Support Release). Per risolvere queste vulnerabilità è necessario aggiornare Firefox ESR alla versione 60.7.

Per maggiori informazioni è possibile consultare i seguenti avvisi di sicurezza di Mozilla (in Inglese):

Notizie correlate

Risolte vulnerabilità critiche in Mozilla Thunderbird 60.8

12 luglio 2019

Mozilla ha rilasciato un avviso di sicurezza riguardante diverse vulnerabilità, di cui una critica e altre quattro di gravità elevata, nella versione 60 del client di posta elettronica Thunderbird.Leggi tutto

Risolte vulnerabilità critiche in Mozilla Firefox 68

10 luglio 2019

Mozilla ha rilasciato la versione 68 del suo browser Firefox per i maggiori sistemi desktop e Android. L’aggiornamento risolve un totale di 21 vulnerabilità, di cui due critiche e 4 di gravità elevata.Leggi tutto

Risolta vulnerabilità critica 0-day in Mozilla Thunderbird 60.7.2

1 luglio 2019

Mozilla ha rilasciato un avviso di sicurezza riguardante due vulnerabilità, di cui una critica, nella versione 60 del client di posta elettronica Thunderbird.Leggi tutto