Множественные уязвимости в Mozilla Firefox

Дата публикации:27.01.2016
Всего просмотров:2932
Опасность:
Высокая
Наличие исправления: Да
Количество уязвимостей:17
CVSSv2 рейтинг: 5 (AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:OF/RC:C)
9.3 (AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C)
9.3 (AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C)
9.3 (AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C)
10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C)
5 (AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:OF/RC:C)
5 (AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:OF/RC:C)
5 (AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:OF/RC:C)
5 (AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:OF/RC:C)
5 (AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C)
5 (AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C)
5 (AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:OF/RC:C)
5 (AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:OF/RC:C)
5 (AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C)
5 (AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C)
5 (AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C)
4 (AV:N/AC:H/Au:N/C:P/I:P/A:N/E:U/RL:OF/RC:C)
CVE ID: CVE-2015-7208
CVE-2016-1930
CVE-2016-1931
CVE-2016-1933
CVE-2016-1935
CVE-2016-1937
CVE-2016-1938
CVE-2016-1939
CVE-2016-1940
CVE-2016-1941
CVE-2016-1942
CVE-2016-1943
CVE-2016-1944
CVE-2016-1945
CVE-2016-1946
CVE-2016-1947
CVE-2016-1948
Вектор эксплуатации: Удаленная
Воздействие: Раскрытие важных данных
Обход ограничений безопасности
Спуфинг атака
Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Mozilla Firefox 43.x
Уязвимые версии: Mozilla Firefox до 44.0
Описание:

Уязвимости позволяют удаленному пользователю осуществить спуфинг-атаку, раскрыть важные данные, обойти ограничения безопасности и скомпрометировать систему.

1) Уязвимость существует из-за ошибки при обработке файлов cookie. Удаленный пользователь может с помощью специально сформированного cookie-файла раскрыть важные данные.

2, 3) Уязвимости существуют из-за неуточненной ошибки. Удаленный пользователь может создать специально сформированный контент, который при открытии жертвой позволит выполнить произвольный код на целевой системе.

4) Уязвимость существует из-за неуточненной ошибки. Удаленный пользователь может создать специально сформированный файл GIF, который при открытии жертвой позволит выполнить произвольный код на целевой системе.

5) Уязвимость существует из-за ошибки переполнения буфера в BufferSubData(). Удаленный пользователь может вызвать переполнение буфера при обработке WebGL-контента, что приведет к компрометации системы.

6) Уязвимость существует из-за ошибки при обработке файлов cookie. Удаленный пользователь может с помощью специально сформированного файла cookie с неверным именем или значением, содержащим некорректные контрольные символы, раскрыть важные данные.

7) Уязвимость существует из-за неизвестной ошибки. Удаленный пользователь может осуществить спуфинг-атаку в панели адреса.

Примечание: Уязвимость затрагивает лишь Firefox для ОС Android.

8) Уязвимость существует из-за того, что диалог обработчика протоколов воспринимает двойной щелчок как два отдельных щелчка. Удаленный пользователь может обойти ограничения безопасности.

9) Уязвимость существует из-за того, что в некоторых случаях функции NSS mp_div() и mp_exptmod() могут совершить неверные вычисления. Удаленный пользователь может раскрыть важные данные.

10) Уязвимость существует из-за слишком короткой задержки между получением фокуса диалоговым окном открытия файла при загрузке и разблокированием соответствующей кнопки в диалоговом окне. Удаленный пользователь может осуществить кликджекинг-атаку.

11) Уязвимость существует из-за неизвестной ошибки. Удаленный пользователь может осуществить спуфинг-атаку в панели адреса.

Примечание: Уязвимость затрагивает лишь Firefox для ОС Android.

12) Уязвимость существует из-за неизвестной ошибки. Удаленный пользователь может осуществить спуфинг-атаку в панели адреса.

13) Уязвимость существует из-за ошибки в функции Buffer11::NativeBuffer11::map(). Удаленный пользователь может обойти ограничения безопасности.

14) Уязвимость существует из-за ошибки в функции nsZipArchive(). Удаленный пользователь может обойти ограничения безопасности.

15) Уязвимость существует из-за ошибки в функции MoofParser::Metadata(). Удаленный пользователь может обойти ограничения безопасности.

16) Уязвимость существует из-за ошибки, вследствие которой браузер может не получить доступа к службе Application Reputation. Удаленный пользователь может обойти ограничения безопасности.

17) Уязвимость существует из-за того, что темы оформления устанавливаются по незащищенному каналу связи. Удаленный пользователь с возможностью осуществления атаки "человек посередине" может перехватить передаваемые данные и заменить их на произвольный контент.

URL производителя: http://mozilla.org/firefox/
Решение: Установите исправление с сайта производителя.
Ссылки: https://www.mozilla.org/en-US/security/advisories/mfsa2016-01/
https://www.mozilla.org/en-US/security/advisories/mfsa2016-02/
https://www.mozilla.org/en-US/security/advisories/mfsa2016-03/
https://www.mozilla.org/en-US/security/advisories/mfsa2016-04/
https://www.mozilla.org/en-US/security/advisories/mfsa2016-05/
https://www.mozilla.org/en-US/security/advisories/mfsa2016-06/
https://www.mozilla.org/en-US/security/advisories/mfsa2016-07/
https://www.mozilla.org/en-US/security/advisories/mfsa2016-08/
https://www.mozilla.org/en-US/security/advisories/mfsa2016-09/
https://www.mozilla.org/en-US/security/advisories/mfsa2016-10/
https://www.mozilla.org/en-US/security/advisories/mfsa2016-11/
https://www.mozilla.org/en-US/security/advisories/mfsa2016-12/