• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Уязвимость в Firefox

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
firefox (any)
Описание
Бюллетень USN-2880-1 устранил уязвимости в Firefox, однако привел к регрессии, проявляющейся в аварийном завершении работы Firefox при запуске с определенными настройками. Настоящее обновление устраняет данную проблему.



Информация из оригинального бюллетеня:

Множественные уязвимости в Firefox позволяют злоумышленникам вызвать отказ в обслуживании (аварийное завершение работы приложения) или выполнить произвольный код (с привилегиями пользователя, запустившего Firefox), убедив пользователя посетить специально сформированный веб-сайт. (CVE-2016-1930, CVE-2016-1931)    Уязвимость, связанная с загрузкой GIF-изображений, позволяет злоумышленникам вызвать отказ в обслуживании (аварийное завершение работы из-за чрезмерного потребления памяти), убедив пользователя посетить специально сформированный веб-сайт. (CVE-2016-1933)    Переполнение буфера, связанное с обработкой WebGL-контента, позволяет злоумышленникам вызвать отказ в обслуживании (аварийное завершение работы приложения) или выполнить произвольный код (с привилегиями пользователя, запустившего Firefox), убедив пользователя посетить специально сформированный веб-сайт. (CVE-2016-1935)    Уязвимость, связанная с отсутствием задержки для диалогового окна обработчика протокола, позволяет злоумышленникам подменить действия пользователя, убедив его посетить специально сформированный веб-сайт. (CVE-2016-1937)    Уязвимость в функциях mp_div и mp_exptmod в NSS, связанная с некорректными расчетами, приводит к недостаточно надежному шифрованию. (CVE-2016-1938)    Уязвимость в Firefox, связанная с возможностью использования управляющих символов в именах cookie-файлов, позволяет злоумышленникам внедрить cookie-файлы на некоторые веб-серверы. (CVE-2016-1939)    Уязвимость, связанная со вставкой недопустимых URL в адресную строку, позволяет злоумышленникам подменить URL-адреса. (CVE-2016-1942)    Уязвимости в Firefox позволяют злоумышленникам вызвать отказ в обслуживании (аварийное завершение работы приложения) или выполнить произвольный код (с привилегиями пользователя, запустившего Firefox), убедив пользователя посетить специально сформированный веб-сайт. (CVE-2016-1944, CVE-2016-1945, CVE-2016-1946)    Уязвимость в функции проверки репутации приложений (Application Reputation), связанная с отключением предупреждений о вредоносных загрузках, позволяет злоумышленникам убедить пользователя загрузить вредоносный файл. Данная уязвимость не затрагивает другие функции безопасного просмотра (Safe Browsing). (CVE-2016-1947)
Как исправить
Для устранения уязвимости необходимо установить следующие версии пакетов:
Ubuntu 15.10:
firefox - 44.0.1+build2-0ubuntu0.15.10.1
Ubuntu 14.04 LTS:
firefox - 44.0.1+build2-0ubuntu0.14.04.1
Ubuntu 12.04 LTS:
firefox - 44.0.1+build2-0ubuntu0.12.04.1