Множественные уязвимости в Mozilla Firefox ESR и Thunderbird

Дата публикации:
15.10.2014
Дата изменения:
15.10.2014
Всего просмотров:
1432
Опасность:
Высокая
Наличие исправления:
Да
Количество уязвимостей:
7
CVSSv2 рейтинг:
(AV:N/AC:M/Au:N/C:C/I:C/A:N/E:U/RL:W/RC:C) = Base:8.8/Temporal:7.1
(AV:N/AC:M/Au:N/C:C/I:C/A:N/E:U/RL:W/RC:C) = Base:8.8/Temporal:7.1
(AV:N/AC:M/Au:N/C:P/I:C/A:N/E:U/RL:W/RC:C) = Base:7.8/Temporal:6.3
(AV:N/AC:M/Au:N/C:C/I:C/A:N/E:U/RL:W/RC:C) = Base:8.8/Temporal:7.1
(AV:N/AC:M/Au:N/C:C/I:C/A:N/E:U/RL:W/RC:C) = Base:8.8/Temporal:7.1
(AV:N/AC:M/Au:N/C:P/I:C/A:N/E:U/RL:W/RC:C) = Base:7.8/Temporal:6.3
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:W/RC:C) = Base:4.3/Temporal:3.5
CVE ID:
CVE-2014-1574
CVE-2014-1576
CVE-2014-1577
CVE-2014-1578
CVE-2014-1581
CVE-2014-1585
CVE-2014-1586
Вектор эксплуатации:
Удаленная
Воздействие:
Раскрытие важных данных
Обход ограничений безопасности
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Mozilla Firefox 31.x
Mozilla Thunderbird 31.x
Уязвимые версии:
Mozilla Firefox ESR 31.1
Mozilla Thunderbird 31.1

Описание:
Уязвимость позволяет удаленному пользователю обойти ограничения безопасности, получить доступ к важным данным и скомпрометировать целевую систему.

1. Уязвимость существует из-за неизвестных ошибок. Удаленный пользователь может вызвать повреждение памяти.

2. Уязвимость существует из-за ошибки при обработке класса "nsTransformedTextRun". Удаленный пользователь может вызвать переполнение буфера.

3. Уязвимость существует из-за ошибки в методе "mozilla::dom::OscillatorNodeEngine::ComputeCustom()" при взаимодействии с custom waveforms. Удаленный пользователь может раскрыть содержимое определенных участков памяти.

4. Уязвимость существует из-за ошибки в функции "get_tile()" при буферизации видео в формате WebM. Удаленный пользователь может осуществить запись за границами данных.

5. Уязвимость существует из-за ошибки использования после освобождения при обработке расположения текста, связанной с DirectionalityUtils. Удаленный пользователь вызвать повреждение памяти.

Примечание: Успешная эксплуатация уязвимостей #1, #2, #4 и #5 позволяет скомпрометировать целевую систему.

6. Уязвимость существует из-за ошибки при обработке видео, связанной с функционалом "stop sharing". Удаленный пользователь может получить доступ к защищенному видеостриму.

7. Уязвимость существует из-за ошибки при обработке записей web-камеры. Удаленный пользователь может спровоцировать самопроизвольное включение камеры.

URL производителя: http://www.mozilla.org/en-US/thunderbird/

Решение: Установите последнюю версию 31.2 с сайта производителя.



Ссылки: https://www.mozilla.org/security/announce/2014/mfsa2014-74.html
https://www.mozilla.org/security/announce/2014/mfsa2014-75.html
https://www.mozilla.org/security/announce/2014/mfsa2014-76.htmlt
https://www.mozilla.org/security/announce/2014/mfsa2014-77.html
https://www.mozilla.org/security/announce/2014/mfsa2014-79.html
https://www.mozilla.org/security/announce/2014/mfsa2014-81.html