[TLP:CLEAR] Mozilla Firefox a Thunderbird opravujú 11 zraniteľností
Mozilla opravuje 11 zraniteľností v produktoch Thunderbird, Thunderbird ESR, Firefox a Firefox ESR [1][2][3][4][5]. Najzávažnejšie zraniteľnosti sú uvedené nižšie. Jednotlivé produkty a ich opravené verzie: Firefox - 134 [1] Firefox ESR - 128.6, 115.19 [2][3] Thunderbird - 134 [4] Thunderbird ESR - 128.6 [5]
Neautentizovanému vzdialenému útočníkovi je pri presmerovaní obete útoku za určitých okolností umožnené ovplyvňovať zobrazenú URL adresu. Zraniteľnosť sa týka iba operačného systému Android [1].
Zraniteľnosť sa nachádza v produkte Firefox vo verziách <134.
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
Viac informácií:
- CVE-2025-0244 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-601: URL Redirection to Untrusted Site ('Open Redirect') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 7. 1. 2025.
Neautentizovanému vzdialenému útočníkovi je umožnené poškodiť dáta v pamäti a potenciálne vykonávať kód [1][2][3][4][5].
Zraniteľnosť sa nachádza v produktoch:
- Firefox vo verziách <134
- Firefox ESR vo verziách (>=128 AND <128.6) OR (<115.19)
- Thunderbird vo verziách <134
- Thunderbird ESR vo verziách <128.6
CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2025-0242 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-787: Out-of-bounds Write at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 7. 1. 2025.
Neautentizovanému vzdialenému útočníkovi je umožnené poškodiť dáta v pamäti a potenciálne vykonávať kód [1][4].
Zraniteľnosť sa nachádza v produktoch:
- Firefox vo verziách <134
- Thunderbird vo verziách <134
CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2025-0247 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-787: Out-of-bounds Write at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 7. 1. 2025.
Odkazy
- [1] https://www.mozilla.org/en-US/security/advisories/mfsa2025-01/
- [2] https://www.mozilla.org/en-US/security/advisories/mfsa2025-02/
- [3] https://www.mozilla.org/en-US/security/advisories/mfsa2025-03/
- [4] https://www.mozilla.org/en-US/security/advisories/mfsa2025-04/
- [5] https://www.mozilla.org/en-US/security/advisories/mfsa2025-05/
Za CESNET-CERTS Martin Krajči dňa 10. 1. 2025.