Security Lab

Множественные уязвимости в Mozilla Firefox

Дата публикации:19.03.2014
Всего просмотров:1032
Опасность:
Высокая
Наличие исправления: Да
Количество уязвимостей:10
CVSSv2 рейтинг: 10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C)
4.3 (AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C)
4.3 (AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C)
4.3 (AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C)
4.3 (AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C)
5 (AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:OF/RC:C)
5 (AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C)
7.8 (AV:N/AC:L/Au:N/C:N/I:C/A:N/E:U/RL:OF/RC:C)
5 (AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C)
5 (AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C)
CVE ID: CVE-2014-1493
CVE-2014-1497
CVE-2014-1499
CVE-2014-1502
CVE-2014-1505
CVE-2014-1508
CVE-2014-1510
CVE-2014-1512
CVE-2014-1513
CVE-2014-1514
Вектор эксплуатации: Удаленная
Воздействие: Раскрытие важных данных
Обход ограничений безопасности
Спуфинг атака
Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Mozilla Firefox 24.x
Mozilla SeaMonkey 2.x
Mozilla Thunderbird 24.x
Уязвимые версии:
Mozilla Firefox 24.x
Mozilla Thunderbird 24.x
Mozilla SeaMonkey 2.x, возможно более ранние версии

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю обойти ограничения безопасности, совершить спуфинг атаку, получить доступ к определенной конфиденциальной информации и выполнить произвольный код на целевой системе.

1.Уязвимость существует из-за неизвестной ошибки. Удаленный пользователь может вызвать повреждение памяти.

2. Уязвимость существует из-за ошибки при проверки границ данных при декодировании WAV аудио файлов. Удаленный пользователь может вызвать переполнение буфера памяти.

3. Уязвимость существует из-за ошибки при разрешении приглашений для WebRTC сессий. Удаленный пользователь может подделать приглашение и получить доступ к веб-камере или микрофону.

4. Уязвимость существует из-за ошибки при обработке определенного контента WebGL. Удаленный пользователь может подменить контекст WebGL иным сайтом.

Уязвимости № 3 и № 4 влияют только на SeaMonkey.

5. Уязвимость существует из-за ошибки при обработке многоугольных изображений в MathML. Удаленный пользователь может вызвать переполнение буфера памяти.

6. Уязвимость существует из-за ошибки синхронизации при обработке фильтров и перемещений изображений в формате SVG. Удаленный пользователь может через домены раскрыть текстовые значения.

7. Уязвимость существует из-за определенных WebIDL-implemented APIs. Удаленный пользователь может загрузить недоступные привилегированные страницы.

8. Уязвимость существует из-за ошибки использования после освобождения при обработке остаточных файлов из TypeObjects через буфер памяти. Удаленный пользователь может вызвать повреждение памяти.

9. Уязвимость существует из-за ошибки в реализации TypedArrayObject при обработке ArrayBuffer объектов. Удаленный пользователь может вызвать переполнение буфера памяти.

10. Уязвимость существует из-за ошибки в реализации TypedArrayObject при копировании списков. Удаленный пользователь может вызвать переполнение буфера памяти.

URL производителя: http://www.mozilla.org

Решение: Установите последнюю версию с сайта производителя.

Ссылки: http://www.mozilla.org/security/announce/2014/mfsa2014-15.html
http://www.mozilla.org/security/announce/2014/mfsa2014-17.html
http://www.mozilla.org/security/announce/2014/mfsa2014-19.html
http://www.mozilla.org/security/announce/2014/mfsa2014-22.html
http://www.mozilla.org/security/announce/2014/mfsa2014-26.html
http://www.mozilla.org/security/announce/2014/mfsa2014-28.html
http://www.mozilla.org/security/announce/2014/mfsa2014-29.html
http://www.mozilla.org/security/announce/2014/mfsa2014-30.html
http://www.mozilla.org/security/announce/2014/mfsa2014-31.html
http://www.mozilla.org/security/announce/2014/mfsa2014-32.html