ASA-2019-00430 – Mozilla Firefox: Sandbox escape através da instalação do pacote de idiomas maliciosos


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00430

Identificador(es)

ASA-2019-00430, CVE-2019-9811, MFSA2019-21

Título

Sandbox escape através da instalação de pacote de idiomas maliciosos

Fabricante(s)

Mozilla Foundation

Produto(s)

Mozilla Firefox

Versão(ões) afetada(s)

Mozilla Firefox versões anteriores a 68

Versão(ões) corrigida(s)

Mozilla Firefox versão 68

Prova de conceito

Desconhecido

Descrição

Como parte de sua entrada vencedora no Pwn2Own, Niklas Baumstark demonstrou um escape na sandbox instalando um pacote de idiomas malicioso e abrindo um recurso do navegador que usava a tradução comprometida.

Detalhes técnicos

Desconhecido

Créditos

Niklas Baumstark

Referência(s)

Mozilla Foundation Security Advisory 2019-21
https://www.mozilla.org/en-US/security/advisories/mfsa2019-21/#CVE-2019-9811

Bug 1538007
https://bugzilla.mozilla.org/show_bug.cgi?id=1538007

Restrict mozAddonManager’s special privileges to calls from the discovery pane
https://bugzilla.mozilla.org/show_bug.cgi?id=1539598

Bug 1539759
https://bugzilla.mozilla.org/show_bug.cgi?id=1539759

Convert aboutTelemetry.dtd to use Fluent instead
https://bugzilla.mozilla.org/show_bug.cgi?id=1523741

Bug 1563327
https://bugzilla.mozilla.org/show_bug.cgi?id=1563327

CVE-2019-9811
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9811

CVE-2019-9811
https://nvd.nist.gov/vuln/detail/CVE-2019-9811

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 18 julho 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.