Множественные уязвимости в Mozilla Firefox

Дата публикации:
13.05.2014
Дата изменения:
14.05.2014
Всего просмотров:
768
Опасность:
Высокая
Наличие исправления:
Да
Количество уязвимостей:
13
CVSSv2 рейтинг:
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:L/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C)AV:L/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:7.2/Temporal:5.3
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:P/I:P/A:P/E:U/RL:OF/RC:C) = Base:7.5/Temporal:5.5
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:4.3/Temporal:3.2
CVE ID:
CVE-2014-1492
CVE-2014-1518
CVE-2014-1519
CVE-2014-1520
CVE-2014-1522
CVE-2014-1524
CVE-2014-1525
CVE-2014-1526
CVE-2014-1528
CVE-2014-1529
CVE-2014-1530
CVE-2014-1531
CVE-2014-1532
Вектор эксплуатации:
Удаленная
Воздействие:
Повышение привилегий
Обход ограничений безопасности
Спуфинг атака
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Mozilla Firefox 28.x
Уязвимые версии: Mozilla Firefox 28.x, возможно более ранние версии

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю совершить спуфинг атаку, обойти ограничения безопасности, выполнить произвольный код на целевой системе и локальному пользователю повысить свои привилегии на системе.

1. Уязвимость существует из-за неизвестной ошибки. Удаленный пользователь может вызвать повреждение памяти.

2. Уязвимость существует из-за иной неизвестной ошибки. Удаленный пользователь может вызвать повреждение памяти.

3. Приложение использует определенный временный каталог maintenservice_installer.exe небезопасном способом. Локальный пользователь может во время процедуры обновления подменить DLL-файл и выполнить произвольный код с привилегиями Mozilla Maintenance Service.

4. Уязвимость существует из-за ошибки при обработке Web Audio. Удаленный пользователь может вызывать переполнение буфера памяти и в последствии вызвать повреждение памяти.

5. Уязвимость существует из-за ошибки при проверке статуса XBL объектов. Удаленный пользователь может с помощью специально сформированного сценария используя non-XBL как объект XBL вызвать переполнение буфера.

6. Уязвимость существует из-за ошибки использования после освобождения при обработке HTML видео в Text Track Manager. Удаленный пользователь может вызвать повреждение памяти.

7. Уязвимость существует из-за ошибки при работе холстом в функции "sse2_composite_src_x888_8888()"в графической библиотеки Cairo. Удаленный пользователь может вызвать повреждение памяти.

8. Уязвимость существует из-за ошибки при обработке сайтов уведомлений в Web Notification API. Удаленный пользователь может обойти систему проверки безопасности исходных компонентов Web Notification API и в последствии выполнить произвольный код на целевой системе.

9. Уязвимость существует из-за ошибки при обработке навигации сайта через историю загрузки веб-сайтов. Удаленный пользователь может подменить сайт baseURI и произвести XSS нападение.

10. Уязвимость существует из-за ошибки использования после освобождения при обработке объекта imgLoader в функции "nsGenericHTMLElement::GetWidthHeightForImage()".Удаленный пользователь может вызвать повреждение памяти.

11. Уязвимость существует из-за ошибки в NSS.
Подробное описание уязвимости доступно по адресу:
http://www.securitylab.ru/vulnerability/450743.php№1

12. Уязвимость существует из-за ошибки использования после освобождения при обработке расширения узлов в функции "libxul.so!nsHostResolver::ConditionallyRefreshRecord()".Удаленный пользователь может вызвать повреждение памяти.

Для успешной эксплуатации уязвимости №1, №2, №4-№7, №10 и №12 пользователь может выполнить произвольный код на целевой системе.

13. Уязвимость существует из-за ошибки при обработке отладки некоторых объектов. Удаленный пользователь может обманывая пользователя в отладке вредоносной страницы с помощью JavaScript обойти XrayWrappers.

URL производителя: http://www.mozilla.org/

Решение: Установите последнюю версию 29 с сайта производителя.

Ссылки: http://www.mozilla.org/security/announce/2014/mfsa2014-34.html
http://www.mozilla.org/security/announce/2014/mfsa2014-35.html
http://www.mozilla.org/security/announce/2014/mfsa2014-36.html
http://www.mozilla.org/security/announce/2014/mfsa2014-38.html
http://www.mozilla.org/security/announce/2014/mfsa2014-39.html
http://www.mozilla.org/security/announce/2014/mfsa2014-41.html
http://www.mozilla.org/security/announce/2014/mfsa2014-42.html
http://www.mozilla.org/security/announce/2014/mfsa2014-43.html
http://www.mozilla.org/security/announce/2014/mfsa2014-44.html
http://www.mozilla.org/security/announce/2014/mfsa2014-45.html
http://www.mozilla.org/security/announce/2014/mfsa2014-46.html
http://www.mozilla.org/security/announce/2014/mfsa2014-47.html

или введите имя

CAPTCHA