Mozilla Firefox opravuje 2 zranitelnosti

Připadá Vám tento report dobře zpracovaný? *

Ano

Používáte tuto technologii? *

Ano

Byl pro Vás tento report užitečný?

Ano

Budeme rádi, pokud se rozepíšete:

Bezpečnostní služby poskytované organizací CESNET jsou navrženy jako významná podpora při zajišťování kybernetické bezpečnosti připojených organizací. Přestože usilujeme o poskytování kvalitních a spolehlivých služeb, není možné garantovat absolutní pokrytí všech bezpečnostních zranitelností. Naše služby by měly být vnímány jako doplněk k vlastnímu bezpečnostnímu řízení organizací, nikoli jako jeho náhrada. Klient nese konečnou odpovědnost za zabezpečení svého prostředí.

[TLP:CLEAR] Mozilla Firefox opravuje 2 zranitelnosti

Mozilla opravuje dvě vysoce závažné zranitelnosti v produktech Firefox a Firefox ESR [1]. Opravené verze jednotlivých produktů: Firefox - 138.0.4 [2] Firefox ESR - 128.10.1 [3], 115.23.1 [4]

Mozilla Firefox, Firefox ESR - memory read/write (CVE-2025-4919) CVSS 8.8 (High)

Neautentizovanému vzdálenému útočníkovi je kvůli nesprávné manipulaci s velikostí indexů pole v JavaScriptu umožněno číst/zapisovat mimo rozsah alokované paměti, což může vést k úniku citlivých dat nebo v kombinaci s jinou zranitelností ke spuštění kódu [5][6].

Zranitelnost se nachází v produktech:

Firefox ve verzích <138.0.4
Firefox ESR ve verzích (<115.23.1) OR (>=128.0 AND <128.10.1)

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Více informací:

CVE-2025-4919 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-125: Out-of-bounds Read at cwe.mitre.org
CWE-787: Out-of-bounds Write at cwe.mitre.org

Zranitelnost byla veřejně oznámena 17. 5. 2025.

Mozilla Firefox, Firefox ESR - memory read/write (CVE-2025-4918) CVSS 8.8 (High)

Neautentizovanému vzdálenému útočníkovi je kvůli nesprávné manipulaci s objektem 'Promise' v JavaScriptu umožněno číst/zapisovat mimo rozsah alokované paměti, což může vést k úniku citlivých dat nebo v kombinaci s jinou zranitelností ke spuštění kódu [7][6].