Обновления безопасности
Назад к п.2
2.1199 Множественные уязвимости firefox (CVE-2023-1945 CVE-2023-29531 CVE-2023-29532 CVE-2023-29533 CVE-2023-29535 CVE-2023-29536 CVE-2023-29539 CVE-2023-29541 CVE-2023-29542 CVE-2023-29545 CVE-2023-29548 CVE-2023-29550)
| Идентификатор бюллетеня | ROS-20230505-02 |
| Идентификатор CVE | CVE-2023-1945 |
| Идентификатор БДУ ФСТЭК России | |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:L/Au:M/C:C/I:C/A:C |
| Уровень опасности уязвимости (CVSS 2.0) | Высокий(8.3) |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
| Уровень опасности уязвимости (CVSS 3.0) | Высокий(7.2) |
| Описание уязвимости | Уязвимость браузера Mozilla Firefox связана с граничной ошибкой в Safe Browsing API.. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, создать специально созданный веб-сайт, обманом заставить жертву открыть его, вызвать повреждение памяти и выполнить произвольный код в целевой системе. |
| Идентификатор CVE | CVE-2023-29531 |
| Идентификатор БДУ ФСТЭК России | |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:L/Au:N/C:P/I:P/A:P |
| Уровень опасности уязвимости (CVSS 2.0) | Высокий(7.5) |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
| Уровень опасности уязвимости (CVSS 3.0) | Высокий(8.8) |
| Описание уязвимости | Уязвимость браузера Mozilla Firefox связана с граничной ошибкой при обработке ненадежных входных данных в WebGL API. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обманом заставить жертву посетить специально созданный веб-сайт, инициировать запись вне границ и выполнить произвольный код в целевой системе. |
| Идентификатор CVE | CVE-2023-29532 |
| Идентификатор БДУ ФСТЭК России | |
| Базовый вектор уязвимости CVSS 2.0 | AV:L/AC:L/Au:S/C:P/I:P/A:P |
| Уровень опасности уязвимости (CVSS 2.0) | Средний(4.3) |
| Базовый вектор уязвимости CVSS 3.0 | AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L |
| Уровень опасности уязвимости (CVSS 3.0) | Средний(5.3) |
| Описание уязвимости | Уязвимость браузера Mozilla Firefox связана тем, что служба обслуживания Mozilla обрабатывает блокировки записи при загрузке обновлений с SMB-сервера. Эксплуатация уязвимости может позволить нарушителю применить неподписанный файл обновления, указав службе файл обновления на вредоносном SMB-сервере. |
| Идентификатор CVE | CVE-2023-29533 |
| Идентификатор БДУ ФСТЭК России | |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:L/Au:N/C:N/I:P/A:P |
| Уровень опасности уязвимости (CVSS 2.0) | Средний(6.4) |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:L |
| Уровень опасности уязвимости (CVSS 3.0) | Средний(5.4) |
| Описание уязвимости | Уязвимость браузера Mozilla Firefox связана с некорректной обработкой пользовательских данных. Эксплуатация уязвимости может позволить нарушителю действующему удаленно, скрыть полноэкранное уведомление, используя комбинацию window.open, полноэкранных запросов, назначений window.name и вызовов setInterval. |
| Идентификатор CVE | CVE-2023-29535 |
| Идентификатор БДУ ФСТЭК России | |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:L/Au:N/C:P/I:P/A:P |
| Уровень опасности уязвимости (CVSS 2.0) | Высокий(7.5) |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L |
| Уровень опасности уязвимости (CVSS 3.0) | Средний(6.3) |
| Описание уязвимости | Уязвимость браузера Mozilla Firefox связана с ошибкой границ во время сжатия сборщиком мусора. Эксплуатация уязвимости может позволить нарушителю действующему удаленно, создать специально созданный веб-сайт, обманом заставить жертву открыть его, вызвать повреждение памяти и выполнить произвольный код в целевой системе. |
| Идентификатор CVE | CVE-2023-29536 |
| Идентификатор БДУ ФСТЭК России | |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:L/Au:N/C:P/I:P/A:P |
| Уровень опасности уязвимости (CVSS 2.0) | Высокий(7.5) |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L |
| Уровень опасности уязвимости (CVSS 3.0) | Средний(6.3) |
| Описание уязвимости | Уязвимость браузера Mozilla Firefox связана с недопустимой свободной операцией из кода JavaScript. Эксплуатация уязвимости может позволить нарушителю действующему удаленно, заставить жертву посетить специально созданную веб-страницу, вызвать повреждение памяти и выполнить произвольный код. |
| Идентификатор CVE | CVE-2023-29539 |
| Идентификатор БДУ ФСТЭК России | |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:L/Au:N/C:P/I:P/A:P |
| Уровень опасности уязвимости (CVSS 2.0) | Высокий(7.5) |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L |
| Уровень опасности уязвимости (CVSS 3.0) | Средний(6.3) |
| Описание уязвимости | Уязвимость браузера Mozilla Firefox связана с неправильной обработкой директивы имени файла в заголовке Content-Disposition, что приводит к усечению имени файла, если оно содержит символ NULL. Эксплуатация уязвимости может позволить нарушителю действующему удаленно, злоупотреблять таким поведением и заставить жертву загрузить вредоносный файл. |
| Идентификатор CVE | CVE-2023-29541 |
| Идентификатор БДУ ФСТЭК России | |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:H/Au:N/C:P/I:P/A:P |
| Уровень опасности уязвимости (CVSS 2.0) | Средний(5.1) |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:L |
| Уровень опасности уязвимости (CVSS 3.0) | Средний(5.0) |
| Описание уязвимости | Уязвимость браузера Mozilla Firefox связана с неправильной обработкой имен файлов, оканчивающихся на .desktop. Эксплуатация уязвимости может позволить нарушителю действующему удаленно, обманом заставить жертву загрузить вредоносный файл и запустить его в системе. |
| Идентификатор CVE | CVE-2023-29542 |
| Идентификатор БДУ ФСТЭК России | |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:L/Au:N/C:P/I:P/A:P |
| Уровень опасности уязвимости (CVSS 2.0) | Высокий(7.5) |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L |
| Уровень опасности уязвимости (CVSS 3.0) | Средний(6.3) |
| Описание уязвимости | Уязвимость браузера Mozilla Firefox связана с неправильной обработкой новой строки в имени файла. Эксплуатация уязвимости может позволить нарушителю действующему удаленно, обойти механизмы безопасности расширений файлов, которые заменяют опасные расширения файлов, такие как .lnk, на .download, и потенциально поставить под угрозу уязвимую систему. |
| Идентификатор CVE | CVE-2023-29545 |
| Идентификатор БДУ ФСТЭК России | |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:L/Au:N/C:P/I:P/A:P |
| Уровень опасности уязвимости (CVSS 2.0) | Высокий(7.5) |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L |
| Уровень опасности уязвимости (CVSS 3.0) | Средний(6.3) |
| Описание уязвимости | Уязвимость браузера Mozilla Firefox связана с чрезмерным выводом данных приложением при загрузке файлов через «Сохранить ссылку как» в Windows с предлагаемыми именами файлов, содержащими имена переменных среды. Эксплуатация уязвимости может позволить нарушителю действующему удаленно, получить несанкционированный доступ к конфиденциальной информации в системе. |
| Идентификатор CVE | CVE-2023-29548 |
| Идентификатор БДУ ФСТЭК России | |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:L/Au:N/C:P/I:P/A:P |
| Уровень опасности уязвимости (CVSS 2.0) | Высокий(7.5) |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L |
| Уровень опасности уязвимости (CVSS 3.0) | Средний(6.3) |
| Описание уязвимости | Уязвимость браузера Mozilla Firefox связана с использованием неправильной инструкции понижения в компиляторе ARM64 Ion. Эксплуатация уязвимости может позволить нарушителю действующему удаленно, получить доступ к конфиденциальной информации. |
| Идентификатор CVE | CVE-2023-29550 |
| Идентификатор БДУ ФСТЭК России | |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:L/Au:N/C:P/I:P/A:P |
| Уровень опасности уязвимости (CVSS 2.0) | Высокий(7.5) |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L |
| Уровень опасности уязвимости (CVSS 3.0) | Средний(6.3) |
| Описание уязвимости | Уязвимость браузера Mozilla Firefox связана с ошибкой границ при анализе содержимого HTML. Эксплуатация уязвимости может позволить нарушителю действующему удаленно, создать специально созданный веб-сайт, обманом заставить жертву открыть его, вызвать повреждение памяти и выполнить произвольный код в целевой системе. |
| Наименование уязвимого пакета: | firefox |
| Версия уязвимого пакета младше: | 102.10.0-1 |
| Пакет обновления: | firefox-0:102.10.0-1.el7.3.x86_64 |
| Версия ОС | 7.3 |
| Архитектура ОС | х86_64 |
| Возможные меры по устранению уязвимости |
|
| Дата публикации бюллетеня | 05.05.2023 |
Дата последнего изменения: 05.05.2023
Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.