CRITICAL🇬🇧 English

CVE-2024-4778

Błędy bezpieczeństwa pamięci w Mozilla Firefox 125 umożliwiające RCE

CVSS 9.8v3.1pub. 2024-05-14upd. 2025-04-04

W przeglądarce Mozilla Firefox 125 wykryto wiele błędów bezpieczeństwa pamięci, z których część wykazała oznaki uszkodzenia pamięci (memory corruption). Podatność jest krytyczna, ponieważ przy odpowiednim nakładzie pracy mogła zostać wykorzystana do wykonania dowolnego kodu na systemie ofiary.

Pokaż oryginał (EN)

Memory safety bugs present in Firefox 125. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code. This vulnerability affects Firefox < 126.

🤖 Analiza AI
Jak działa

Błędy dotyczą nieprawidłowego zarządzania pamięcią w silniku przeglądarki Firefox 125, sklasyfikowane jako CWE-1260 (niezgodność mechanizmów ochrony pamięci). Niektóre ze zidentyfikowanych błędów wykazały dowody na faktyczne uszkodzenie pamięci w trakcie działania aplikacji. Exploit mógłby zostać przeprowadzony zdalnie, bez konieczności uwierzytelnienia i bez interakcji użytkownika, co odzwierciedla wektor CVSS AV:N/AC:L/PR:N/UI:N.

Skutki

Atakujący może potencjalnie wykonać dowolny kod (RCE) na komputerze ofiary, co może prowadzić do pełnego przejęcia kontroli nad systemem, naruszenia poufności danych oraz zakłócenia działania aplikacji.

Mitygacja

Należy zaktualizować Mozilla Firefox do wersji 126 lub nowszej. Aktualizacja dostępna za pośrednictwem mechanizmu automatycznej aktualizacji przeglądarki lub na stronie producenta zgodnie z poradnikiem bezpieczeństwa MFSA2024-21.

Kogo dotyczy

Mozilla Firefox w wersji wcześniejszej niż 126 (podatna wersja: Firefox 125).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Mozilla Firefox

    APP
    Mozilla
    < 126.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-9680CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Use-after-free w Animation timelines Firefox/Thunderbird — RCE

CVE-2022-26486CRITICAL9.6⚠ KEVten sam produkt

An unexpected message in the WebGPU IPC framework could lead to a use-after-free and exploitable sandbox escap...

CVE-2019-11708CRITICAL10.0⚠ KEVten sam produkt

Insufficient vetting of parameters passed with the Prompt:Open IPC message between child and parent processes ...

CVE-2010-3765CRITICAL9.8⚠ KEVten sam produkt

Mozilla Firefox 3.5.x through 3.5.14 and 3.6.x through 3.6.11, Thunderbird 3.1.6 before 3.1.6 and 3.0.x before...

CVE-2026-14241CRITICAL9.8ten sam produkt

Memory safety bugs present in Firefox 152.0.3. Some of these bugs showed evidence of memory corruption and we ...