Обновления безопасности
Назад к п.2
2.1403 Множественные уязвимости Mozilla Thunderbird(CVE-2022-26383, CVE-2022-26384, CVE-2022-26387, CVE-2022-26381, CVE-2022-26386)
| Идентификатор бюллетеня | ROS-20220322-01 |
| Идентификатор CVE | CVE-2022-26387 |
| Идентификатор БДУ ФСТЭК России | BDU:2022-01454 |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:H/Au:N/C:N/I:C/A:N |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:H/A:N |
| Описание уязвимости | Уязвимость почтового клиента Mozilla Thunderbird, связана с состоянием гонки при проверке подписей во время установки надстройки Firefox. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, заменить базовый файл надстройки, пока пользователь подтверждал приглашение, и установить вредоносную надстройку в системе |
| Идентификатор CVE | CVE-2022-26386 |
| Идентификатор БДУ ФСТЭК России | BDU:2022-01459 |
| Базовый вектор уязвимости CVSS 2.0 | AV:L/AC:L/Au:N/C:P/I:N/A:N |
| Базовый вектор уязвимости CVSS 3.0 | AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
| Описание уязвимости | Уязвимость почтового клиента Mozilla Thunderbird, связана с тем, что клиент хранит файлы в папке /tmp, доступной для всех локальных пользователей. Эксплуатация уязвимости может позволить нарушителю, читать файлы из временной папки и получать доступ к потенциально конфиденциальной информации |
| Идентификатор CVE | CVE-2022-26383 |
| Идентификатор БДУ ФСТЭК России | BDU:2022-01446 |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:L/Au:N/C:N/I:P/A:N |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N |
| Описание уязвимости | Уязвимость почтового клиента Mozilla Thunderbird, связана с ошибкой при изменении размера всплывающего окна после запроса полноэкранного доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, использовать всплывающее окно, которое не будет отображать полноэкранное уведомление, что позволяет удаленному злоумышленнику выполнить спуфинговую атаку |
| Идентификатор CVE | CVE-2022-26384 |
| Идентификатор БДУ ФСТЭК России | BDU:2022-01448 |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:L/Au:N/C:P/I:P/A:N |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N |
| Описание уязвимости | Уязвимость почтового клиента Mozilla Thunderbird, связана с логической ошибкой при обработке iframe. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, и который имеет возможность контролировать содержимое изолированной программной среды iframe , allow-popups, но не allow-scripts, может создать ссылку, щелчок по которой приведет к выполнению JavaScript в нарушение изолированной программной среды |
| Идентификатор CVE | CVE-2022-26381 |
| Идентификатор БДУ ФСТЭК России | BDU:2022-01447 |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:L/Au:N/C:C/I:C/A:C |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
| Описание уязвимости | Уязвимость почтового клиента Mozilla Thunderbird, связана с ошибкой использования памяти после освобождения при обработке HTML-содержимого. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, активировать использование после освобождения, заставив текст перекомпоноваться в объекте SVG и выполнив произвольный код в системе |
| Наименование уязвимого пакета: | thunderbird |
| Версия уязвимого пакета младше: | 91.7.0-1 |
| Пакет обновления: | thunderbird-0:91.7.0-1.el7.3.x86_64 |
| Версия ОС | 7.3 |
| Архитектура ОС | х86_64 |
| Возможные меры по устранению уязвимости |
|
| Дата публикации бюллетеня | 22.03.2022 |
Дата последнего изменения: 29.03.2022
Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.