Множественные уязвимости в Mozilla Firefox
| Дата публикации: | 11.03.2016 |
| Всего просмотров: | 3145 |
| Опасность: | Высокая |
| Наличие исправления: | Да |
| Количество уязвимостей: | 40 |
| CVSSv2 рейтинг: | 9.3 (AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) 9.3 (AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) 9.3 (AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) 4.3 (AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) 4.3 (AV:N/AC:M/Au:N/C:P/I:N/A:N/E:U/RL:OF/RC:C) 4.3 (AV:N/AC:M/Au:N/C:N/I:N/A:P/E:U/RL:OF/RC:C) 4.3 (AV:N/AC:M/Au:N/C:P/I:N/A:N/E:U/RL:OF/RC:C) 5 (AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:OF/RC:C) 10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) 10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) 10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) 10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) 7.2 (AV:L/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) 10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) 5 (AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:OF/RC:C) 10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) 5 (AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:OF/RC:C) 10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) 10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) 10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) 10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) 10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) 10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) 10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) 10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) 9.3 (AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) 10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) 9.3 (AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) 9.3 (AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) 9.3 (AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) 9.3 (AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) 9.3 (AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) 9.3 (AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) 9.3 (AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) 9.3 (AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) 9.3 (AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) 9.3 (AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) 9.3 (AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) 9.3 (AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) 9.3 (AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) |
| CVE ID: |
CVE-2016-1950 CVE-2016-1952 CVE-2016-1953 CVE-2016-1954 CVE-2016-1955 CVE-2016-1956 CVE-2016-1957 CVE-2016-1958 CVE-2016-1959 CVE-2016-1960 CVE-2016-1961 CVE-2016-1962 CVE-2016-1963 CVE-2016-1964 CVE-2016-1965 CVE-2016-1966 CVE-2016-1967 CVE-2016-1968 CVE-2016-1970 CVE-2016-1971 CVE-2016-1972 CVE-2016-1973 CVE-2016-1974 CVE-2016-1975 CVE-2016-1976 CVE-2016-1977 CVE-2016-1979 CVE-2016-2790 CVE-2016-2791 CVE-2016-2792 CVE-2016-2793 CVE-2016-2794 CVE-2016-2795 CVE-2016-2796 CVE-2016-2797 CVE-2016-2798 CVE-2016-2799 CVE-2016-2800 CVE-2016-2801 CVE-2016-2802 |
| Вектор эксплуатации: | Удаленная |
| Воздействие: |
Отказ в обслуживании Раскрытие важных данных Раскрытие системных данных Спуфинг атака Компрометация системы |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | Mozilla Firefox 44.x |
| Уязвимые версии: | Mozilla Firefox до 45.0 |
| Описание: | Уязвимости позволяют удаленному пользователю раскрыть важные данные, неавторизованно изменить данные, осуществить спуфинг-атаку, вызвать отказ в обслуживании, выполнить произвольный код и обойти ограничения безопасности. 1) Уязвимость существует из-за переполнения динамической памяти в библиотеке NSS. Удаленный пользователь может с помощью специально сформированного сертификата ASN.1 выполнить произвольный код на целевой системе. Примечание: Для успешной эксплуатации уязвимости жертва должна загрузить и запустить вредоносный сертификат. 2, 3) Уязвимости существуют из-за неуточненной ошибки. Удаленный пользователь может с помощью специально сформированного контента скомпрометировать систему. Примечание: Для успешной эксплуатации уязвимости жертва должна загрузить и запустить вредоносный файл. 4) Уязвимость существует из-за неуточненной ошибки. Удаленный пользователь может с помощью специально сформированной HTML-страницы неавторизованно изменить данные. Примечание: Для успешной эксплуатации уязвимости жертва должна открыть вредоносную страницу. 5) Уязвимость существует из-за неуточненной ошибки. Удаленный пользователь может раскрыть важные данные. 6) Уязвимость существует из-за неуточненной ошибки. Удаленный пользователь может с помощью специально сформированного WebGL-контента вызвать отказ в обслуживании. Примечание: Для успешной эксплуатации уязвимости жертва должна открыть вредоносную страницу. Примечание: Успешная эксплуатация уязвимости возможна лишь на ОС Linux с определенной версией установленных драйверов видеоадаптера Intel. 7) Уязвимость существует из-за утечки памяти в libstagefright. Удаленный пользователь может с помощью специально сформированного файла MP4 раскрыть важные данные. Примечание: Для успешной эксплуатации уязвимости жертва должна перейти на страницу, содержащую вредоносный файл MP4. 8) Уязвимость существует из-за неуточненной ошибки. Удаленный пользователь может осуществить спуфинг-атаку. 9) Уязвимость существует из-за ошибки в Сlients API в компоненте Service Workers. Удаленный пользователь может скомпрометировать систему. 10) Уязвимость существует из-за ошибки использования после высвобождения в строчном парсере HTML5. Удаленный пользователь может скомпрометировать систему. 11) Уязвимость существует из-за ошибки использования после высвобождения в функции SetBody компонента HTMLDocument. Удаленный пользователь может скомпрометировать систему. 12) Уязвимость существует из-за ошибки использования после высвобождения при использовании множественных соединений по WebRTC. Удаленный пользователь может скомпрометировать систему. 13) Уязвимость существует из-за неуточненной ошибки. Локальный пользователь может изменить файл, читаемый компонентом FileReader, и скомпрометировать систему. 14) Уязвимость существует из-за из-за ошибки использования после высвобождения при операциях трансформации XML. Удаленный пользователь может скомпрометировать систему. 15) Уязвимость существует из-за неуточненной ошибки. Удаленный пользователь может осуществить спуфинг-атаку. 16) Уязвимость существует из-за ошибки разобращения к нулевому указателю в плагинах NPAPI. Удаленный пользователь может скомпрометировать систему. 17) Уязвимость существует из-за неуточненной ошибки. Удаленный пользователь может раскрыть важные данные. 18) Уязвимость существует из-за переполнения буфера в библиотеке Brotli. Удаленный пользователь может выполнить произвольный код на целевой системе. 19-21, 24-25) Уязвимости существуют из-за ошибок повреждения памяти в WebRTC. Удаленный пользователь может скомпрометировать систему. 22) Уязвимость существует из-за ошибки в WebRTC. Удаленный пользователь может скомпрометировать систему. 23) Уязвимость существует из-за ошибки выхода за пределы доступной памяти при обработке строчных данных Unicode. Удаленный пользователь может скомпрометировать систему. 27) Уязвимость существует из-за ошибки использования после высвобождения при обработке зашифрованных с помощью DER ключей в NSS. Удаленный пользователь может скомпрометировать систему. 26, 28-40) Уязвимость существует из-за множественных ошибок в библиотеке Libgraphite2. Удаленный пользователь может с помощью специально сформированного шрифта выполнить произвольный код на целевой системе. Примечание: Для успешной эксплуатации уязвимости жертва должна открыть сайт, содержащий вредоносный шрифт. |
| Решение: | Установите исправление с сайта производителя. |
| Ссылки: |
https://www.mozilla.org/en-US/security/advisories/mfsa2016-38/ https://www.mozilla.org/en-US/security/advisories/mfsa2016-37/ https://www.mozilla.org/en-US/security/advisories/mfsa2016-36/ https://www.mozilla.org/en-US/security/advisories/mfsa2016-35/ https://www.mozilla.org/en-US/security/advisories/mfsa2016-34/ https://www.mozilla.org/en-US/security/advisories/mfsa2016-33/ https://www.mozilla.org/en-US/security/advisories/mfsa2016-32/ https://www.mozilla.org/en-US/security/advisories/mfsa2016-31/ https://www.mozilla.org/en-US/security/advisories/mfsa2016-30/ https://www.mozilla.org/en-US/security/advisories/mfsa2016-29/ https://www.mozilla.org/en-US/security/advisories/mfsa2016-28/ https://www.mozilla.org/en-US/security/advisories/mfsa2016-27/ https://www.mozilla.org/en-US/security/advisories/mfsa2016-26/ https://www.mozilla.org/en-US/security/advisories/mfsa2016-25/ https://www.mozilla.org/en-US/security/advisories/mfsa2016-24/ https://www.mozilla.org/en-US/security/advisories/mfsa2016-23/ https://www.mozilla.org/en-US/security/advisories/mfsa2016-22/ https://www.mozilla.org/en-US/security/advisories/mfsa2016-21/ https://www.mozilla.org/en-US/security/advisories/mfsa2016-20/ https://www.mozilla.org/en-US/security/advisories/mfsa2016-19/ https://www.mozilla.org/en-US/security/advisories/mfsa2016-18/ https://www.mozilla.org/en-US/security/advisories/mfsa2016-17/ https://www.mozilla.org/en-US/security/advisories/mfsa2016-16/ |