Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
firefox
(any)
Описание
Бюллетень USN-2880-1 устранил уязвимости в Firefox, однако привел к регрессии, проявляющейся в аварийном завершении работы Firefox при запуске с определенными настройками. Настоящее обновление устраняет данную проблему.
Информация из оригинального бюллетеня:
Множественные уязвимости в Firefox позволяют злоумышленникам вызвать отказ в обслуживании (аварийное завершение работы приложения) или выполнить произвольный код (с привилегиями пользователя, запустившего Firefox), убедив пользователя посетить специально сформированный веб-сайт. (CVE-2016-1930, CVE-2016-1931) Уязвимость, связанная с загрузкой GIF-изображений, позволяет злоумышленникам вызвать отказ в обслуживании (аварийное завершение работы из-за чрезмерного потребления памяти), убедив пользователя посетить специально сформированный веб-сайт. (CVE-2016-1933) Переполнение буфера, связанное с обработкой WebGL-контента, позволяет злоумышленникам вызвать отказ в обслуживании (аварийное завершение работы приложения) или выполнить произвольный код (с привилегиями пользователя, запустившего Firefox), убедив пользователя посетить специально сформированный веб-сайт. (CVE-2016-1935) Уязвимость, связанная с отсутствием задержки для диалогового окна обработчика протокола, позволяет злоумышленникам подменить действия пользователя, убедив его посетить специально сформированный веб-сайт. (CVE-2016-1937) Уязвимость в функциях mp_div и mp_exptmod в NSS, связанная с некорректными расчетами, приводит к недостаточно надежному шифрованию. (CVE-2016-1938) Уязвимость в Firefox, связанная с возможностью использования управляющих символов в именах cookie-файлов, позволяет злоумышленникам внедрить cookie-файлы на некоторые веб-серверы. (CVE-2016-1939) Уязвимость, связанная со вставкой недопустимых URL в адресную строку, позволяет злоумышленникам подменить URL-адреса. (CVE-2016-1942) Уязвимости в Firefox позволяют злоумышленникам вызвать отказ в обслуживании (аварийное завершение работы приложения) или выполнить произвольный код (с привилегиями пользователя, запустившего Firefox), убедив пользователя посетить специально сформированный веб-сайт. (CVE-2016-1944, CVE-2016-1945, CVE-2016-1946) Уязвимость в функции проверки репутации приложений (Application Reputation), связанная с отключением предупреждений о вредоносных загрузках, позволяет злоумышленникам убедить пользователя загрузить вредоносный файл. Данная уязвимость не затрагивает другие функции безопасного просмотра (Safe Browsing). (CVE-2016-1947)
Информация из оригинального бюллетеня:
Множественные уязвимости в Firefox позволяют злоумышленникам вызвать отказ в обслуживании (аварийное завершение работы приложения) или выполнить произвольный код (с привилегиями пользователя, запустившего Firefox), убедив пользователя посетить специально сформированный веб-сайт. (CVE-2016-1930, CVE-2016-1931) Уязвимость, связанная с загрузкой GIF-изображений, позволяет злоумышленникам вызвать отказ в обслуживании (аварийное завершение работы из-за чрезмерного потребления памяти), убедив пользователя посетить специально сформированный веб-сайт. (CVE-2016-1933) Переполнение буфера, связанное с обработкой WebGL-контента, позволяет злоумышленникам вызвать отказ в обслуживании (аварийное завершение работы приложения) или выполнить произвольный код (с привилегиями пользователя, запустившего Firefox), убедив пользователя посетить специально сформированный веб-сайт. (CVE-2016-1935) Уязвимость, связанная с отсутствием задержки для диалогового окна обработчика протокола, позволяет злоумышленникам подменить действия пользователя, убедив его посетить специально сформированный веб-сайт. (CVE-2016-1937) Уязвимость в функциях mp_div и mp_exptmod в NSS, связанная с некорректными расчетами, приводит к недостаточно надежному шифрованию. (CVE-2016-1938) Уязвимость в Firefox, связанная с возможностью использования управляющих символов в именах cookie-файлов, позволяет злоумышленникам внедрить cookie-файлы на некоторые веб-серверы. (CVE-2016-1939) Уязвимость, связанная со вставкой недопустимых URL в адресную строку, позволяет злоумышленникам подменить URL-адреса. (CVE-2016-1942) Уязвимости в Firefox позволяют злоумышленникам вызвать отказ в обслуживании (аварийное завершение работы приложения) или выполнить произвольный код (с привилегиями пользователя, запустившего Firefox), убедив пользователя посетить специально сформированный веб-сайт. (CVE-2016-1944, CVE-2016-1945, CVE-2016-1946) Уязвимость в функции проверки репутации приложений (Application Reputation), связанная с отключением предупреждений о вредоносных загрузках, позволяет злоумышленникам убедить пользователя загрузить вредоносный файл. Данная уязвимость не затрагивает другие функции безопасного просмотра (Safe Browsing). (CVE-2016-1947)
Как исправить
Для устранения уязвимости необходимо установить следующие версии пакетов:
Ubuntu 15.10:
firefox - 44.0.1+build2-0ubuntu0.15.10.1
Ubuntu 14.04 LTS:
firefox - 44.0.1+build2-0ubuntu0.14.04.1
Ubuntu 12.04 LTS:
firefox - 44.0.1+build2-0ubuntu0.12.04.1
Ubuntu 15.10:
firefox - 44.0.1+build2-0ubuntu0.15.10.1
Ubuntu 14.04 LTS:
firefox - 44.0.1+build2-0ubuntu0.14.04.1
Ubuntu 12.04 LTS:
firefox - 44.0.1+build2-0ubuntu0.12.04.1