FERRAMENTAS LINUX: Atualização de segurança do Mageia para o Firefox , aviso Mageia 2021-0199

quinta-feira, 29 de abril de 2021

Atualização de segurança do Mageia para o Firefox , aviso Mageia 2021-0199

 

Confira !!


Mais hosts de rede interna podem ter sido sondados por uma página da web mal-intencionada: técnicas adicionais baseadas na pesquisa slipstream combinadas com uma página da web mal-intencionada podem ter exposto tanto os hosts de uma rede interna quanto os serviços executados na máquina local do usuário (CVE-2021-23961 )

MGASA-2021-0199 - Pacotes firefox atualizados corrigem vulnerabilidades de segurança


Data de publicação: 29 de abril de 2021

URL: https://advisories.mageia.org/MGASA-2021-0199.html

Tipo: segurança

Versões afetadas da Mageia: 7, 8

CVE: CVE-2021-23961,

     CVE-2021-23994,

     CVE-2021-23995,

     CVE-2021-23998,

     CVE-2021-23999,

     CVE-2021-24002,

     CVE-2021-29945,

     CVE-2021-29946


Mais hosts de rede interna podem ter sido investigados por uma página da web maliciosa:

Outras técnicas que se basearam na pesquisa de turbilhonamento combinadas com um

página da web maliciosa também pode ter exposto os hosts de uma rede interna

como serviços em execução na máquina local do usuário (CVE-2021-23961).


Gravação fora do limite devido à inicialização lenta:

Um framebuffer WebGL não foi inicializado cedo o suficiente, resultando em memória

corrupção e uma gravação fora do limite (CVE-2021-23994).


Use depois de livre no modo de design responsivo:

Quando o modo de design responsivo foi ativado, ele usou referências a objetos que

foram previamente libertados. Presumimos que, com esforço suficiente, isso poderia ter sido

explorado para executar código arbitrário (CVE-2021-23995).


O ícone do Secure Lock pode ter sido falsificado:

Por meio de navegações complicadas com novas janelas, uma página HTTP poderia ter

herdou um ícone de cadeado seguro de uma página HTTPS (CVE-2021-23998).


URLs de blob podem ter recebido privilégios adicionais:

Se um URL de Blob foi carregado por meio de alguma interação incomum do usuário, ele poderia ter

foi carregado pelo Principal do Sistema e recebeu privilégios adicionais que

não deve ser concedido ao conteúdo da web (CVE-2021-23999).


Execução arbitrária de comandos FTP em servidores FTP usando um URL codificado:

Quando um usuário clica em um URL de FTP contendo caracteres de nova linha codificados

(% 0A e% 0D), as novas linhas seriam interpretadas como tal e permitidas

comandos arbitrários a serem enviados ao servidor FTP (CVE-2021-24002).


O cálculo incorreto do tamanho no WebAssembly JIT pode levar a leituras nulas:

O JIT WebAssembly pode calcular mal o tamanho de um tipo de retorno, o que pode

levar a uma leitura nula e resultar em um travamento.

Observação: esse problema afetou apenas as plataformas x86-32. Outras plataformas não são afetadas.

(CVE-2021-29945).


O bloqueio de portas pode ser contornado:

Portas que foram gravadas como um estouro de número inteiro acima dos limites de um

inteiro poderia ter contornado as restrições de bloqueio de porta quando usado no

Cabeçalho Alt-Svc (CVE-2021-29946).


Referências:

- https://bugs.mageia.org/show_bug.cgi?id=28822

- https://www.mozilla.org/en-US/security/advisories/mfsa2021-15/

- https://developer.mozilla.org/en-US/docs/Mozilla/Projects/NSS/NSS_3.64_release_notes

- https://access.redhat.com/errata/RHSA-2021:1360

- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-23961

- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-23994

- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-23995

- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-23998

- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-23999

- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-24002

- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-29945

- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-29946


SRPMS:

- 7 / core / firefox-l10n-78.10.0-1.mga7

- 7 / core / nss-3.64.0-1.mga7

- 7 / core / firefox-78.10.0-1.1.mga7

- 8 / core / firefox-l10n-78.10.0-1.mga8

- 8 / core / nss-3.64.0-1.mga8

- 8 / core / firefox-78.10.0-1.1.mga8





Fonte

Até a próxima !!

Nenhum comentário:

Postar um comentário