BDU:2021-02451: Уязвимость компонентов Web Render веб-браузера Firefox, позволяющая нарушителю выполнить произвольный код в системе

Описание уязвимости Уязвимость компонентов Web Render веб-браузера Firefox вызвана ошибками синхронизации при использовании общего ресурса. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код в системе
Вендор Canonical Ltd., ООО «Ред Софт», Mozilla Corp., АО "НППКТ"
Наименование ПО Ubuntu, РЕД ОС (запись в едином реестре российских программ №3751), Firefox, Firefox for Android, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО
  • 18.04 LTS (Ubuntu)
  • 7.2 Муром (РЕД ОС)
  • 20.04 LTS (Ubuntu)
  • 20.10 (Ubuntu)
  • 21.04 (Ubuntu)
  • до 88.0.1 (Firefox)
  • до 88.1.3 (Firefox for Android)
  • до 2.4.2 (ОСОН ОСнова Оnyx)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Тип ошибки Одновременное выполнение с использованием общего ресурса с неправильной синхронизацией («Ситуация гонки»)
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 07.05.2021
Базовый вектор уязвимости
Уровень опасности уязвимости Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для программных продуктов Mozilla Corp.:
https://www.mozilla.org/en-US/security/advisories/mfsa2021-20/#CVE-2021-29952

Для РЕД ОС:
https://redos.red-soft.ru/updatesec/

Для Ubuntu:
https://ubuntu.com/security/notices/USN-4942-1

Для ОСОН Основа:
Обновление программного обеспечения firefox-esr до версии 91.5.0esr+repack-1~deb10u1.osnova1
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование сроками и состоянием
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения