[TLP:CLEAR] Mozilla Firefox, Firefox ESR a Thunderbird opravujú 9 zraniteľností
Mozilla opravuje 9 zraniteľností v rôznych produktoch. Najzávažnejšie sú uvedené nižšie. Jednotlivé produkty a ich opravené verzie: Firefox - 142 [7] Firefox ESR - 140.2, 128.14, 115.27 [4][5][6] Thunderbird - 142, 140.2, 128.14 [1][2][3]
Neautentizovanému vzdialenému útočníkovi je v Mozilla Firefox, Firefox ESR a Thunderbird umožnené spôsobiť poškodenie dát v pamäti a potenciálne vykonávať kód [1][2][3][4][5][6][7].
Zraniteľnosť sa nachádza v produktoch:
- Thunderbird vo verziách (>=140 AND <140.2) OR (>=128 AND <128.14)
- Firefox ESR vo verziách (>=140 AND <140.2) OR (>=128 AND <128.14) OR (>=115 AND <115.27)
CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2025-9185 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 19. 8. 2025.
Neateuntizovanému vzdialenému útočníkovi je pomocou sociálneho inžinierstva umožnené zvýšiť svoje oprávnenia na úroveň procesu GMP prehratím špeciálne vytvoreného šifrovaného audio/video obsahu v prehliadači obete [1][2][3][4][5][6][7].
Zraniteľnosť sa nachádza v produktoch:
- Thunderbird vo verziách (>=140 AND <140.2) OR (>=128 AND <128.14)
- Firefox ESR vo verziách (>=140 AND <140.2) OR (>=128 AND <128.14) OR (>=115 AND <115.27)
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:L
Viac informácií:
- CVE-2025-9179 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 19. 8. 2025.
Neautentizovanému vzdialenému útočníkovi je pomocou sociálneho inžinierstva umožnené obísť "same-origin" opatrenia zobrazením 2D grafiky v prehliadači obete, čo môže viesť k neoprávnenému zobrazovaniu citlivých údajov [1][2][3][4][5][6][7].
Zraniteľnosť sa nachádza v produktoch:
- Thunderbird vo verziách (>=140 AND <140.2) OR (>=128 AND <128.14)
- Firefox ESR vo verziách (>=140 AND <140.2) OR (>=128 AND <128.14) OR (>=115 AND <115.27)
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:N
Viac informácií:
- CVE-2025-9180 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-346: Origin Validation Error at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 19. 8. 2025.
Odkazy
- [1] https://www.mozilla.org/en-US/security/advisories/mfsa2025-72/
- [2] https://www.mozilla.org/en-US/security/advisories/mfsa2025-71/
- [3] https://www.mozilla.org/en-US/security/advisories/mfsa2025-70/
- [4] https://www.mozilla.org/en-US/security/advisories/mfsa2025-67/
- [5] https://www.mozilla.org/en-US/security/advisories/mfsa2025-66/
- [6] https://www.mozilla.org/en-US/security/advisories/mfsa2025-65/
- [7] https://www.mozilla.org/en-US/security/advisories/mfsa2025-64/
Za CESNET-CERTS Martin Krajči dňa 20. 8. 2025.
