Множественные уязвимости в Mozilla Firefox

Дата публикации:
11.03.2016
Дата изменения:
11.03.2016
Всего просмотров:
2072
Опасность:
Высокая
Наличие исправления:
Да
Количество уязвимостей:
40
CVSSv2 рейтинг:
(AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:9.3/Temporal:6.9
(AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:9.3/Temporal:6.9
(AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:9.3/Temporal:6.9
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:M/Au:N/C:P/I:N/A:N/E:U/RL:OF/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:M/Au:N/C:N/I:N/A:P/E:U/RL:OF/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:M/Au:N/C:P/I:N/A:N/E:U/RL:OF/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:L/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:7.2/Temporal:5.3
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:9.3/Temporal:6.9
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:9.3/Temporal:6.9
(AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:9.3/Temporal:6.9
(AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:9.3/Temporal:6.9
(AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:9.3/Temporal:6.9
(AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:9.3/Temporal:6.9
(AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:9.3/Temporal:6.9
(AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:9.3/Temporal:6.9
(AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:9.3/Temporal:6.9
(AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:9.3/Temporal:6.9
(AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:9.3/Temporal:6.9
(AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:9.3/Temporal:6.9
(AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:9.3/Temporal:6.9
(AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:9.3/Temporal:6.9
CVE ID:
CVE-2016-1950
CVE-2016-1952
CVE-2016-1953
CVE-2016-1954
CVE-2016-1955
CVE-2016-1956
CVE-2016-1957
CVE-2016-1958
CVE-2016-1959
CVE-2016-1960
CVE-2016-1961
CVE-2016-1962
CVE-2016-1963
CVE-2016-1964
CVE-2016-1965
CVE-2016-1966
CVE-2016-1967
CVE-2016-1968
CVE-2016-1970
CVE-2016-1971
CVE-2016-1972
CVE-2016-1973
CVE-2016-1974
CVE-2016-1975
CVE-2016-1976
CVE-2016-1977
CVE-2016-1979
CVE-2016-2790
CVE-2016-2791
CVE-2016-2792
CVE-2016-2793
CVE-2016-2794
CVE-2016-2795
CVE-2016-2796
CVE-2016-2797
CVE-2016-2798
CVE-2016-2799
CVE-2016-2800
CVE-2016-2801
CVE-2016-2802
Вектор эксплуатации:
Удаленная
Воздействие:
Отказ в обслуживании
Раскрытие важных данных
Раскрытие системных данных
Спуфинг атака
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Mozilla Firefox 44.x
Уязвимые версии:
Mozilla Firefox до 45.0

Описание:

Уязвимости позволяют удаленному пользователю раскрыть важные данные, неавторизованно изменить данные, осуществить спуфинг-атаку, вызвать отказ в обслуживании, выполнить произвольный код и обойти ограничения безопасности.

1) Уязвимость существует из-за переполнения динамической памяти в библиотеке NSS. Удаленный пользователь может с помощью специально сформированного сертификата ASN.1 выполнить произвольный код на целевой системе.

Примечание: Для успешной эксплуатации уязвимости жертва должна загрузить и запустить вредоносный сертификат.

2, 3) Уязвимости существуют из-за неуточненной ошибки. Удаленный пользователь может с помощью специально сформированного контента скомпрометировать систему.

Примечание: Для успешной эксплуатации уязвимости жертва должна загрузить и запустить вредоносный файл.

4) Уязвимость существует из-за неуточненной ошибки. Удаленный пользователь может с помощью специально сформированной HTML-страницы неавторизованно изменить данные.

Примечание: Для успешной эксплуатации уязвимости жертва должна открыть вредоносную страницу.

5) Уязвимость существует из-за неуточненной ошибки. Удаленный пользователь может раскрыть важные данные.

6) Уязвимость существует из-за неуточненной ошибки. Удаленный пользователь может с помощью специально сформированного WebGL-контента вызвать отказ в обслуживании.

Примечание: Для успешной эксплуатации уязвимости жертва должна открыть вредоносную страницу.

Примечание: Успешная эксплуатация уязвимости возможна лишь на ОС Linux с определенной версией установленных драйверов видеоадаптера Intel.

7) Уязвимость существует из-за утечки памяти в libstagefright. Удаленный пользователь может с помощью специально сформированного файла MP4 раскрыть важные данные.

Примечание: Для успешной эксплуатации уязвимости жертва должна перейти на страницу, содержащую вредоносный файл MP4.

8) Уязвимость существует из-за неуточненной ошибки. Удаленный пользователь может осуществить спуфинг-атаку.

9) Уязвимость существует из-за ошибки в Сlients API в компоненте Service Workers. Удаленный пользователь может скомпрометировать систему.

10) Уязвимость существует из-за ошибки использования после высвобождения в строчном парсере HTML5. Удаленный пользователь может скомпрометировать систему.

11) Уязвимость существует из-за ошибки использования после высвобождения в функции SetBody компонента HTMLDocument. Удаленный пользователь может скомпрометировать систему.

12) Уязвимость существует из-за ошибки использования после высвобождения при использовании множественных соединений по WebRTC. Удаленный пользователь может скомпрометировать систему.

13) Уязвимость существует из-за неуточненной ошибки. Локальный пользователь может изменить файл, читаемый компонентом FileReader, и скомпрометировать систему.

14) Уязвимость существует из-за из-за ошибки использования после высвобождения при операциях трансформации XML. Удаленный пользователь может скомпрометировать систему.

15) Уязвимость существует из-за неуточненной ошибки. Удаленный пользователь может осуществить спуфинг-атаку.

16) Уязвимость существует из-за ошибки разобращения к нулевому указателю в плагинах NPAPI. Удаленный пользователь может скомпрометировать систему.

17) Уязвимость существует из-за неуточненной ошибки. Удаленный пользователь может раскрыть важные данные.

18) Уязвимость существует из-за переполнения буфера в библиотеке Brotli. Удаленный пользователь может выполнить произвольный код на целевой системе.

19-21, 24-25) Уязвимости существуют из-за ошибок повреждения памяти в WebRTC. Удаленный пользователь может скомпрометировать систему.

22) Уязвимость существует из-за ошибки в WebRTC. Удаленный пользователь может скомпрометировать систему.

23) Уязвимость существует из-за ошибки выхода за пределы доступной памяти при обработке строчных данных Unicode. Удаленный пользователь может скомпрометировать систему.

27) Уязвимость существует из-за ошибки использования после высвобождения при обработке зашифрованных с помощью DER ключей в NSS. Удаленный пользователь может скомпрометировать систему.

26, 28-40) Уязвимость существует из-за множественных ошибок в библиотеке Libgraphite2. Удаленный пользователь может с помощью специально сформированного шрифта выполнить произвольный код на целевой системе.

Примечание: Для успешной эксплуатации уязвимости жертва должна открыть сайт, содержащий вредоносный шрифт.


URL производителя: http://mozilla.org

Решение: Установите исправление с сайта производителя.

Ссылки: https://www.mozilla.org/en-US/security/advisories/mfsa2016-38/
https://www.mozilla.org/en-US/security/advisories/mfsa2016-37/
https://www.mozilla.org/en-US/security/advisories/mfsa2016-36/
https://www.mozilla.org/en-US/security/advisories/mfsa2016-35/
https://www.mozilla.org/en-US/security/advisories/mfsa2016-34/
https://www.mozilla.org/en-US/security/advisories/mfsa2016-33/
https://www.mozilla.org/en-US/security/advisories/mfsa2016-32/
https://www.mozilla.org/en-US/security/advisories/mfsa2016-31/
https://www.mozilla.org/en-US/security/advisories/mfsa2016-30/
https://www.mozilla.org/en-US/security/advisories/mfsa2016-29/
https://www.mozilla.org/en-US/security/advisories/mfsa2016-28/
https://www.mozilla.org/en-US/security/advisories/mfsa2016-27/
https://www.mozilla.org/en-US/security/advisories/mfsa2016-26/
https://www.mozilla.org/en-US/security/advisories/mfsa2016-25/
https://www.mozilla.org/en-US/security/advisories/mfsa2016-24/
https://www.mozilla.org/en-US/security/advisories/mfsa2016-23/
https://www.mozilla.org/en-US/security/advisories/mfsa2016-22/
https://www.mozilla.org/en-US/security/advisories/mfsa2016-21/
https://www.mozilla.org/en-US/security/advisories/mfsa2016-20/
https://www.mozilla.org/en-US/security/advisories/mfsa2016-19/
https://www.mozilla.org/en-US/security/advisories/mfsa2016-18/
https://www.mozilla.org/en-US/security/advisories/mfsa2016-17/
https://www.mozilla.org/en-US/security/advisories/mfsa2016-16/
или введите имя

CAPTCHA