[TLP:CLEAR] Mozilla Firefox a Thunderbird opravujú 11 zraniteľností

Mozilla opravuje 11 zraniteľností v produktoch Thunderbird, Thunderbird ESR, Firefox a Firefox ESR [1][2][3][4][5]. Najzávažnejšie zraniteľnosti sú uvedené nižšie. Jednotlivé produkty a ich opravené verzie: Firefox - 134 [1] Firefox ESR - 128.6, 115.19 [2][3] Thunderbird - 134 [4] Thunderbird ESR - 128.6 [5]

Mozilla Firefox & Thunderbird - data spoofing (CVE-2025-0244) CVSS 5.3 (Medium)

Neautentizovanému vzdialenému útočníkovi je pri presmerovaní obete útoku za určitých okolností umožnené ovplyvňovať zobrazenú URL adresu. Zraniteľnosť sa týka iba operačného systému Android [1].

Zraniteľnosť sa nachádza v produkte Firefox vo verziách <134.

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Viac informácií:

Zraniteľnosť bola verejne oznámená 7. 1. 2025.

Mozilla Firefox & Thunderbird - RCE (CVE-2025-0242) CVSS 8.1 (High)

Neautentizovanému vzdialenému útočníkovi je umožnené poškodiť dáta v pamäti a potenciálne vykonávať kód [1][2][3][4][5].

Zraniteľnosť sa nachádza v produktoch:

  • Firefox vo verziách <134
  • Firefox ESR vo verziách (>=128 AND <128.6) OR (<115.19)
  • Thunderbird vo verziách <134
  • Thunderbird ESR vo verziách <128.6

CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

Viac informácií:

Zraniteľnosť bola verejne oznámená 7. 1. 2025.

Mozilla Firefox & Thunderbird - RCE (CVE-2025-0247) CVSS 8.1 (High)

Neautentizovanému vzdialenému útočníkovi je umožnené poškodiť dáta v pamäti a potenciálne vykonávať kód [1][4].

Zraniteľnosť sa nachádza v produktoch:

  • Firefox vo verziách <134
  • Thunderbird vo verziách <134

CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

Viac informácií:

Zraniteľnosť bola verejne oznámená 7. 1. 2025.


Za CESNET-CERTS Martin Krajči dňa 10. 1. 2025.

CESNET CERTS Logo