Уязвимость аварийного завершения работы из-за "использования после освобождения" при параллельной обработке URL в Firefox и Thunderbird
Описание
Параллельное использование парсера URL с данными в формате, отличном от UTF-8, не является потокобезопасным. Это приводит к уязвимости типа "использование после освобождения" (use-after-free), способной привести к потенциально эксплуатируемому аварийному завершению работы.
Затронутые версии ПО
- Firefox ESR до версии 102.3
- Thunderbird до версии 102.3
- Firefox до версии 105
Тип уязвимости
- Уязвимость типа "использование после освобождения" (use-after-free)
- Аварийное завершение работы
Ссылки
- Issue TrackingPermissions Required
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Issue TrackingPermissions Required
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
Уязвимые конфигурации
Одно из
EPSS
6.5 Medium
CVSS3
Дефекты
Связанные уязвимости
Concurrent use of the URL parser with non-UTF-8 data was not thread-safe. This could lead to a use-after-free causing a potentially exploitable crash. This vulnerability affects Firefox ESR < 102.3, Thunderbird < 102.3, and Firefox < 105.
Concurrent use of the URL parser with non-UTF-8 data was not thread-safe. This could lead to a use-after-free causing a potentially exploitable crash. This vulnerability affects Firefox ESR < 102.3, Thunderbird < 102.3, and Firefox < 105.
Concurrent use of the URL parser with non-UTF-8 data was not thread-sa ...
Concurrent use of the URL parser with non-UTF-8 data was not thread-safe. This could lead to a use-after-free causing a potentially exploitable crash. This vulnerability affects Firefox ESR < 102.3, Thunderbird < 102.3, and Firefox < 105.
Уязвимость браузеров Firefox, Firefox ESR и почтового клиента Thunderbird, связанная с использованием памяти после ее освобождения, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании
EPSS
6.5 Medium
CVSS3