Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.

1. Уязвимость существует из-за ошибки чтения за пределами границ данных в функции CERT_DecodeCertPackage в библиотеке Network Security Services (NSS). Удаленный пользователь может вызвать аварийное прекращение работы.

2. Уязвимость существует из-за некорректной обработки PNG-изображений. Удаленный пользователь может вызвать аварийное прекращение работы.

3. Уязвимость существует из-за недостаточной обработки свойства baseURI. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

4. Уязвимость существует из-за ошибки отображения названия страницы во вкладке браузера. Удаленный пользователь может подменить название страницы и обманом заставить жертву раскрыть важные данные.

5. Уязвимость существует из-за ошибки в методе cloneNode, которая позволяет обойти (SOW) и создать защищенный узел. Удаленный пользователь может обойти политику единства происхождения и выполнить произвольный код на целевой системе.

6. Уязвимость существует из-за ошибки в инструменте Address Sanitizer. Удаленный пользователь может вызвать аварийное прекращение работы и выполнить произвольный код на целевой системе.

Примечание: Уязвимость № 6 распространяется на пользователей Linux с графическими знаками Intel Mesa.

7. Уязвимость существует из-за ошибки в Mozilla Updater. Удаленный пользователь может подменить загружаемые данные и загрузить вредоносный DLL-файл с повышенными привилегиями.

Примечание: Для успешной эксплуатации уязвимости № 7 вредоносный DLL-файл необходимо загрузить локально.

8. Уязвимость существует из-за некорректных прав доступа к app_tmp для Firefox. Сторонние приложения могут управлять расширениями браузера.

Примечание: Уязвимость № 8 распространяется только на Firefox для Android.

9. Уязвимость существует из-за ошибки в службе Mozilla Maintenance. Локальный пользователь может обойти функционал User Account Control (UAC) и выполнить произвольную команду с привилегиями администратора.

Примечание: Уязвимость № 9 распространяется только на Firefox для Windows.

10. Уязвимость существует из-за ошибки в инструменте Address Sanitizer. Удаленный пользователь может выполнить произвольный код на целевой системе.

11. Уязвимость существует из-за неизвестных ошибок. Удаленный пользователь может выполнить произвольный код на целевой системе.

URL производителя: http://www.mozilla.org/

Решение: Для устранения уязвимостей установите продукт версии 20.0 сайта производителя.

Ссылки:
http://www.mozilla.org/security/announce/2013/mfsa2013-40.html
http://www.mozilla.org/security/announce/2013/mfsa2013-39.html
http://www.mozilla.org/security/announce/2013/mfsa2013-38.html
http://www.mozilla.org/security/announce/2013/mfsa2013-37.html
http://www.mozilla.org/security/announce/2013/mfsa2013-36.html
http://www.mozilla.org/security/announce/2013/mfsa2013-35.html
http://www.mozilla.org/security/announce/2013/mfsa2013-34.html
http://www.mozilla.org/security/announce/2013/mfsa2013-33.html
http://www.mozilla.org/security/announce/2013/mfsa2013-32.html
http://www.mozilla.org/security/announce/2013/mfsa2013-31.html
http://www.mozilla.org/security/announce/2013/mfsa2013-30.html

Журнал изменений:
05.04.2013
Внесены изменения в раздел "CVE ID"