Множественные уязвимости в Mozilla Firefox

Дата публикации:
18.09.2013
Дата изменения:
21.10.2013
Всего просмотров:
4554
Опасность:
Высокая
Наличие исправления:
Да
Количество уязвимостей:
19
CVSSv2 рейтинг:
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:M/Au:N/C:N/I:N/A:C/E:U/RL:OF/RC:C) = Base:7.1/Temporal:5.3
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:M/Au:N/C:N/I:N/A:C/E:U/RL:OF/RC:C) = Base:7.1/Temporal:5.3
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:M/Au:N/C:N/I:N/A:C/E:U/RL:OF/RC:C) = Base:7.1/Temporal:5.3
(AV:N/AC:M/Au:N/C:N/I:N/A:C/E:U/RL:OF/RC:C) = Base:7.1/Temporal:5.3
(AV:L/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:7.2/Temporal:5.3
(AV:N/AC:M/Au:N/C:P/I:P/A:N/E:U/RL:OF/RC:C) = Base:5.8/Temporal:4.3
(AV:N/AC:M/Au:N/C:P/I:P/A:N/E:U/RL:OF/RC:C) = Base:5.8/Temporal:4.3
(AV:N/AC:M/Au:N/C:P/I:N/A:N/E:U/RL:OF/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:M/Au:N/C:P/I:P/A:P/E:U/RL:OF/RC:C) = Base:6.8/Temporal:5
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
CVE ID:
CVE-2013-1718
CVE-2013-1719
CVE-2013-1720
CVE-2013-1721
CVE-2013-1722
CVE-2013-1723
CVE-2013-1724
CVE-2013-1725
CVE-2013-1726
CVE-2013-1727
CVE-2013-1728
CVE-2013-1729
CVE-2013-1731
CVE-2013-1730
CVE-2013-1732
CVE-2013-1735
CVE-2013-1736
CVE-2013-1737
CVE-2013-1738
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
Отказ в обслуживании
Повышение привилегий
Обход ограничений безопасности
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Mozilla Firefox 23.x
Уязвимые версии: Mozilla Firefox версий до 24

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю выполнить произвольный код на целевой системе.

1. Уязвимость существует из-за ряда ошибок безопасности в движке браузера. Удаленный пользователь может вызвать повреждение памяти и выполнить произвольный код на целевой системе.

2. Уязвимость существует из-за ошибки HTML5 Tree Builder, который некорректно обрабатывает состояние при взаимодействии с элементами шаблонов. Удаленный пользователь при определенных обстоятельствах может выполнить произвольный код на целевой системе.

3. Уязвимость существует из-за ошибки в библиотеке Almost Native Graphics Layer Engine (ANGLE). Удаленный пользователь может выполнит целочисленное переполнение и выполнить произвольный код на целевой системе.

4. Уязвимость существует из-за ошибки использования после освобождения в и Animation Manager при клонировании стилей. Удаленный пользователь может вызвать аварийное прекращение работы.

5. Уязвимость существует из-за того что виджет NativeKey продолжает обрабатывать ключевые сообщения даже после уничтожения переданными слушателями событий. Удаленный пользователь может вызвать аварийное прекращение работы системы.

6. Уязвимость существует из-за ошибки использования после освобождения в элементе <select> в форме после его уничтожения. Удаленный пользователь может вызвать аварийное прекращение работы системы.

7. Уязвимость существует из-за ошибки инициализация нового объекта Javascript. Удаленный пользователь может вызвать аварийное прекращение работы системы.

8. Уязвимость существует из-за отсутствия файла обновления MAR в Updater. Локальный пользователь может повысить привилегии на целевой системе.

9. Уязвимость существует из-за ошибки нарушения политики единства происхождения при использовании символических ссылок. Удаленный пользователь может осуществить XSS-атаку и получить доступ к локально расположенным в Firefox паролям и cookies.

10. Уязвимость существует из-за ошибки в движке IonMonkey Javascript, работающем в режиме Valgrind. Удаленный пользователь может обойти ограничения безопасности на системе.

11. Уязвимость существует из-за ошибки в графических драйверах NVIDIA OS X. Удаленный пользователь может раскрыть важные данные ан целевой системе.

12. Уязвимость существует из-за того что общественно доступный объект (.so) библиотеке загружается для обеспечения GL. Удаленный пользователь может с помощью специально сформированного приложения выполнить вредоносный код на целевой системе.

Примечание: Уязвимость № 12 распространяется только на Android-устройства.

13. Уязвимость существует из-за того, что перемещение определенных XBL-узлов из документа в новый документ, созданный с помощью document.open() может привести к тому, что отсек различался JavaScript. Удаленный пользователь может обойти ограничения безопасности на системе.

14. Уязвимость существует из-за ошибки объединения списков, потоков и множественных столбцов. Удаленный пользователь может вызвать переполнение буфера и выполнить произвольный код на целевой системе.

15. Уязвимость существует из-за ошибки повреждения памяти при скролле. Удаленный пользователь может выполнить произвольный код на целевой системе.

16. Уязвимость существует из-за некорректной обработки объектов expand. Удаленный пользователь может обойти ограничения безопасности на целевой системе.

17. Уязвимость существует из-за ошибки использования после освобождения. Удаленный пользователь может выполнить произвольный код на целевой системе.

URL производителя: http://www.mozilla.org/

Решение: Для устранения уязвимости установите продукт версии 24 с сайта производителя.

Ссылки: http://www.mozilla.org/security/announce/2013/mfsa2013-76.html
http://www.mozilla.org/security/announce/2013/mfsa2013-77.html
http://www.mozilla.org/security/announce/2013/mfsa2013-78.html
http://www.mozilla.org/security/announce/2013/mfsa2013-79.html
http://www.mozilla.org/security/announce/2013/mfsa2013-80.html
http://www.mozilla.org/security/announce/2013/mfsa2013-81.html
http://www.mozilla.org/security/announce/2013/mfsa2013-82.html
http://www.mozilla.org/security/announce/2013/mfsa2013-83.html
http://www.mozilla.org/security/announce/2013/mfsa2013-84.html
http://www.mozilla.org/security/announce/2013/mfsa2013-85.html
http://www.mozilla.org/security/announce/2013/mfsa2013-86.html
http://www.mozilla.org/security/announce/2013/mfsa2013-87.html
http://www.mozilla.org/security/announce/2013/mfsa2013-88.html
http://www.mozilla.org/security/announce/2013/mfsa2013-89.html
http://www.mozilla.org/security/announce/2013/mfsa2013-90.html
http://www.mozilla.org/security/announce/2013/mfsa2013-91.html
http://www.mozilla.org/security/announce/2013/mfsa2013-92.html

или введите имя

CAPTCHA