CVE-2022-26385
In Mozilla Firefox, Thunderbird und Mozilla Firefox ESR existieren mehrere Schwachstellen. Die Fehler bestehen aufgrund eines Fehlers bei der Größenanpassung eines Popups nach der Anforderung des Vollbildzugriffs, eines Logikfehlers bei der Verarbeitung von Iframes, einer Race-Condition bei der Überprüfung von Signaturen während der Installation von Firefox-Add-ons, eines Use-after-free-Fehlers bei der Verarbeitung von HTML-Inhalten, eines Fehlers in der Autofill-Tooltip-Implementierung, wenn der Text unter Verwendung von Seitenschriftarten gerendert wird, eines Use-after-free-Fehlers beim Herunterfahren von Threads, eines Boundary-Fehlers bei der Verarbeitung von HTML-Inhalten und weil der Browser Dateien im Ordner /tmp speichert, auf den alle lokalen Benutzer Zugriff haben. Ein entfernter, anonymer oder lokaler Angreifer kann diese Schwachstellen ausnutzen, um mehrere Spoofing-Angriffe durchzuführen, Sicherheitsmaßnahmen zu umgehen, beliebigen Code auszuführen und vertrauliche Informationen offenzulegen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion.
EPSS 0.23% · 46.7th percentile
Risk Scores
Affected Products
| Vendor | Product | Versions |
|---|---|---|
| Debian | Debian Linux | |
| IGEL | IGEL OS | |
| Ubuntu | Ubuntu Linux | |
| Mozilla | Mozilla Thunderbird 91.7 | |
| Gentoo | Gentoo Linux | |
| SUSE | SUSE Linux | |
| Xerox | Xerox FreeFlow Print Server v2 | |
| Xerox | Xerox FreeFlow Print Server 9 | |
| Red Hat | Red Hat Enterprise Linux | |
| Amazon | Amazon Linux 2 | |
| Oracle | Oracle Linux |
Exploit Intelligence
- https://bugzilla.mozilla.org/show_bug.cgi?id=1747526 (nist-nvd)
- cve_test.go (github-poc)
- cve_test.go (github-poc)
- cve_test.go (github-poc)
- cve_test.go (github-poc)
- cve_test.go (github-poc)
- cve_test.go (github-poc)
- cve_test.go (github-poc)
- cve_test.go (github-poc)
Timeline
- Mar 8, 2022 CVE Published
- Dec 23, 2022 EPSS Score
- Jan 1, 2023 CVE Updated
- Feb 3, 2023 EPSS Score
- Mar 7, 2023 EPSS Score
- Mar 16, 2023 EPSS Score
- Apr 27, 2023 EPSS Score
- Jun 7, 2023 EPSS Score
- Jul 19, 2023 EPSS Score
- Aug 29, 2023 EPSS Score
- Oct 10, 2023 EPSS Score
- Nov 20, 2023 EPSS Score
References
- https://ubuntu.com/security/notices/USN-5321-3 advisory
- https://wid.cert-bund.de/.well-known/csaf/white/2022/wid-sec-w-2022-1034.json advisory
- https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2022-1034 advisory
- https://bugzilla.mozilla.org/show_bug.cgi?id=1741888 advisory
- https://www.mozilla.org/en-US/security/advisories/mfsa2022-10/ advisory
- https://www.mozilla.org/en-US/security/advisories/mfsa2022-11/ advisory
- https://www.mozilla.org/en-US/security/advisories/mfsa2022-12/ advisory
- https://lists.debian.org/debian-security-announce/2022/msg00064.html advisory
- https://lists.debian.org/debian-lts-announce/2022/03/msg00013.html advisory
- https://access.redhat.com/errata/RHSA-2022:0817 advisory
- https://access.redhat.com/errata/RHSA-2022:0815 advisory
- https://access.redhat.com/errata/RHSA-2022:0816 advisory
- https://access.redhat.com/errata/RHSA-2022:0824 advisory
- https://ubuntu.com/security/notices/USN-5321-1 advisory
- https://access.redhat.com/errata/RHSA-2022:0818 advisory
- http://linux.oracle.com/errata/ELSA-2022-0818.html advisory
- http://linux.oracle.com/errata/ELSA-2022-0824.html advisory
- https://lists.suse.com/pipermail/sle-security-updates/2022-March/010417.html advisory
- https://lists.suse.com/pipermail/sle-security-updates/2022-March/010434.html advisory
- https://access.redhat.com/errata/RHSA-2022:0847 advisory
…and 20 more