• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Уязвимость в Firefox

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
firefox (any)
Описание
Множественные уязвимости в Firefox позволяют злоумышленникам вызвать отказ в обслуживании (аварийное завершение работы приложения) или выполнить произвольный код (с привилегиями пользователя, запустившего Firefox), убедив пользователя посетить специально сформированный веб-сайт. (CVE-2016-1930, CVE-2016-1931)

Уязвимость, связанная с загрузкой GIF-изображений, позволяет злоумышленникам вызвать отказ в обслуживании (аварийное завершение работы из-за чрезмерного потребления памяти), убедив пользователя посетить специально сформированный веб-сайт. (CVE-2016-1933)

Переполнение буфера, связанное с обработкой WebGL-контента, позволяет злоумышленникам вызвать отказ в обслуживании (аварийное завершение работы приложения) или выполнить произвольный код (с привилегиями пользователя, запустившего Firefox), убедив пользователя посетить специально сформированный веб-сайт. (CVE-2016-1935)

Уязвимость, связанная с отсутствием задержки для диалогового окна обработчика протокола, позволяет злоумышленникам подменить действия пользователя, убедив его посетить специально сформированный веб-сайт. (CVE-2016-1937)

Уязвимость в функциях mp_div и mp_exptmod в NSS, связанная с некорректными расчетами, приводит к недостаточно надежному шифрованию. (CVE-2016-1938)

Уязвимость в Firefox, связанная с возможностью использования управляющих символов в именах cookie-файлов, позволяет злоумышленникам внедрить cookie-файлы на некоторые веб-серверы. (CVE-2016-1939)

Уязвимость, связанная со вставкой недопустимых URL в адресную строку, позволяет злоумышленникам подменить URL-адреса. (CVE-2016-1942)

Уязвимости в Firefox позволяют злоумышленникам вызвать отказ в обслуживании (аварийное завершение работы приложения) или выполнить произвольный код (с привилегиями пользователя, запустившего Firefox), убедив пользователя посетить специально сформированный веб-сайт. (CVE-2016-1944, CVE-2016-1945, CVE-2016-1946)

Уязвимость в функции проверки репутации приложений (Application Reputation), связанная с отключением предупреждений о вредоносных загрузках, позволяет злоумышленникам убедить пользователя загрузить вредоносный файл. Данная уязвимость не затрагивает другие функции безопасного просмотра (Safe Browsing). (CVE-2016-1947)
Как исправить
Для устранения уязвимости необходимо установить следующие версии пакетов:
Ubuntu 15.04:
firefox - 44.0+build3-0ubuntu0.15.04.1
Ubuntu 15.10:
firefox - 44.0+build3-0ubuntu0.15.10.1
Ubuntu 14.04 LTS:
firefox - 44.0+build3-0ubuntu0.14.04.1
Ubuntu 12.04 LTS:
firefox - 44.0+build3-0ubuntu0.12.04.1
Ссылки
http://www.ubuntu.com/usn/usn-2880-1/

Источник: CVE
Наименование: CVE-2016-1942
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1942

Источник: CVE
Наименование: CVE-2016-1944
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1944

Источник: CVE
Наименование: CVE-2016-1945
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1945

Источник: CVE
Наименование: CVE-2016-1946
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1946

Источник: CVE
Наименование: CVE-2016-1947
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1947

Источник: CVE
Наименование: CVE-2016-1939
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1939

Источник: CVE
Наименование: CVE-2016-1938
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1938

Источник: CVE
Наименование: CVE-2016-1935
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1935

Источник: CVE
Наименование: CVE-2016-1937
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1937

Источник: CVE
Наименование: CVE-2016-1931
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1931

Источник: CVE
Наименование: CVE-2016-1930
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1930

Источник: CVE
Наименование: CVE-2016-1933
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1933