Множественные уязвимости в Mozilla Firefox

Дата публикации:
27.01.2016
Дата изменения:
27.01.2016
Всего просмотров:
2805
Опасность:
Высокая
Наличие исправления:
Да
Количество уязвимостей:
17
CVSSv2 рейтинг:
(AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:9.3/Temporal:6.9
(AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:9.3/Temporal:6.9
(AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:9.3/Temporal:6.9
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:H/Au:N/C:P/I:P/A:N/E:U/RL:OF/RC:C) = Base:4/Temporal:3
CVE ID:
CVE-2015-7208
CVE-2016-1930
CVE-2016-1931
CVE-2016-1933
CVE-2016-1935
CVE-2016-1937
CVE-2016-1938
CVE-2016-1939
CVE-2016-1940
CVE-2016-1941
CVE-2016-1942
CVE-2016-1943
CVE-2016-1944
CVE-2016-1945
CVE-2016-1946
CVE-2016-1947
CVE-2016-1948
Вектор эксплуатации:
Удаленная
Воздействие:
Раскрытие важных данных
Обход ограничений безопасности
Спуфинг атака
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Mozilla Firefox 43.x
Уязвимые версии:
Mozilla Firefox до 44.0

Описание:

Уязвимости позволяют удаленному пользователю осуществить спуфинг-атаку, раскрыть важные данные, обойти ограничения безопасности и скомпрометировать систему.

1) Уязвимость существует из-за ошибки при обработке файлов cookie. Удаленный пользователь может с помощью специально сформированного cookie-файла раскрыть важные данные.

2, 3) Уязвимости существуют из-за неуточненной ошибки. Удаленный пользователь может создать специально сформированный контент, который при открытии жертвой позволит выполнить произвольный код на целевой системе.

4) Уязвимость существует из-за неуточненной ошибки. Удаленный пользователь может создать специально сформированный файл GIF, который при открытии жертвой позволит выполнить произвольный код на целевой системе.

5) Уязвимость существует из-за ошибки переполнения буфера в BufferSubData(). Удаленный пользователь может вызвать переполнение буфера при обработке WebGL-контента, что приведет к компрометации системы.

6) Уязвимость существует из-за ошибки при обработке файлов cookie. Удаленный пользователь может с помощью специально сформированного файла cookie с неверным именем или значением, содержащим некорректные контрольные символы, раскрыть важные данные.

7) Уязвимость существует из-за неизвестной ошибки. Удаленный пользователь может осуществить спуфинг-атаку в панели адреса.

Примечание: Уязвимость затрагивает лишь Firefox для ОС Android.

8) Уязвимость существует из-за того, что диалог обработчика протоколов воспринимает двойной щелчок как два отдельных щелчка. Удаленный пользователь может обойти ограничения безопасности.

9) Уязвимость существует из-за того, что в некоторых случаях функции NSS mp_div() и mp_exptmod() могут совершить неверные вычисления. Удаленный пользователь может раскрыть важные данные.

10) Уязвимость существует из-за слишком короткой задержки между получением фокуса диалоговым окном открытия файла при загрузке и разблокированием соответствующей кнопки в диалоговом окне. Удаленный пользователь может осуществить кликджекинг-атаку.

11) Уязвимость существует из-за неизвестной ошибки. Удаленный пользователь может осуществить спуфинг-атаку в панели адреса.

Примечание: Уязвимость затрагивает лишь Firefox для ОС Android.

12) Уязвимость существует из-за неизвестной ошибки. Удаленный пользователь может осуществить спуфинг-атаку в панели адреса.

13) Уязвимость существует из-за ошибки в функции Buffer11::NativeBuffer11::map(). Удаленный пользователь может обойти ограничения безопасности.

14) Уязвимость существует из-за ошибки в функции nsZipArchive(). Удаленный пользователь может обойти ограничения безопасности.

15) Уязвимость существует из-за ошибки в функции MoofParser::Metadata(). Удаленный пользователь может обойти ограничения безопасности.

16) Уязвимость существует из-за ошибки, вследствие которой браузер может не получить доступа к службе Application Reputation. Удаленный пользователь может обойти ограничения безопасности.

17) Уязвимость существует из-за того, что темы оформления устанавливаются по незащищенному каналу связи. Удаленный пользователь с возможностью осуществления атаки "человек посередине" может перехватить передаваемые данные и заменить их на произвольный контент.


URL производителя: http://mozilla.org/firefox/

Решение: Установите исправление с сайта производителя.

Ссылки: https://www.mozilla.org/en-US/security/advisories/mfsa2016-01/
https://www.mozilla.org/en-US/security/advisories/mfsa2016-02/
https://www.mozilla.org/en-US/security/advisories/mfsa2016-03/
https://www.mozilla.org/en-US/security/advisories/mfsa2016-04/
https://www.mozilla.org/en-US/security/advisories/mfsa2016-05/
https://www.mozilla.org/en-US/security/advisories/mfsa2016-06/
https://www.mozilla.org/en-US/security/advisories/mfsa2016-07/
https://www.mozilla.org/en-US/security/advisories/mfsa2016-08/
https://www.mozilla.org/en-US/security/advisories/mfsa2016-09/
https://www.mozilla.org/en-US/security/advisories/mfsa2016-10/
https://www.mozilla.org/en-US/security/advisories/mfsa2016-11/
https://www.mozilla.org/en-US/security/advisories/mfsa2016-12/