多数の重大なセキュリティの脆弱性がMozillaFirefoxブラウザに影響を及ぼします. 別の重大度の高い欠陥もGoogleChromeで発見されました. すべてのバグが任意のコードの実行につながる可能性があるようです.
によると MS-ISACによる助言 (マルチステート情報共有および分析センター), ユーザーに関連付けられている権限によって異なります, 攻撃者がプログラムをインストールする可能性があります, ビューだけでなく, データの変更または削除. 攻撃者は、完全なユーザー権限を持つ新しいアカウントを作成することもできます. システムに対するユーザー権限が少ないようにアカウントが構成されているユーザーは、管理ユーザー権限で操作しているユーザーよりも影響が少ない可能性があります。, アドバイザリーは言った.
MozillaFirefoxのバグ
Mozillaの勧告によると, 9 FirefoxESRでセキュリティの問題が修正されました. CVE-2019-11764アドバイザリ, 特に, メモリ安全性の問題として説明されています, Firefoxのいくつかの問題に対処しました 69 およびFirefoxESR 68.1. 脆弱性の影響は重大と評価されています.
Mozilla Foundationによると、脆弱性の一部は「メモリ破損の証拠」を示しており、これは、決意のある攻撃者が任意のコードを実行するために悪用される可能性があることを意味します。. 大中規模の政府および企業組織はほとんどリスクにさらされているようです.
Firefox ESRの最新パッチで対処されたその他の重大度の高いバグには、次のものがあります。:
CVE-2019-15903 – XML_GetCurrentLineNumberのexpatライブラリのヒープオーバーフロー;
CVE-2019-11758 – 悪用される可能性のあるクラッシュ 360 トータルセキュリティ;
CVE-2019-11757 – IndexedDBでインデックス更新を作成するときに発生する解放後使用のバグ.
Mozilla Firefoxで修正されたいくつかの重大度の高い脆弱性は、FirefoxESRにも影響を与えるCVE-2019-15903およびCVE-2019-11757です。, CVE-2018-6156識別子で知られているWebRTCのFEC処理でのヒープバッファオーバーフロー.
MS-ISACが推奨するのは、パッチをすぐに適用することですが、適切なテストが行われた後でのみです。.
ChromeChromeの問題
GoogleChromeのアップデートで合計が修正されました 37 セキュリティ上の問題. 脆弱性の1つは、Semmle SecurityResearchTeamのセキュリティ研究者ManYueによって報告されました。, の報奨金を受け取った人 $20,000. 問題の脆弱性はCVE-2019-13699です。これは、メディアでの解放後の非常に深刻な問題です。. ブラウザで修正された他の2つの重大なバグがあります – CVE-2019-13700 (Blinkでのバッファオーバーラン) およびCVE-2019-13701 (ナビゲーションでのURLスプーフィング。)
Chromeの問題の詳細については、 Googleのアドバイザリ.