BDU:2021-04072: Уязвимость метода MediaCacheStream::NotifyDataReceived почтового клиента Thunderbird, браузеров Firefox и Firefox ESR, позволяющая нарушителю выполнить произвольный код в целевой системе

Описание уязвимости Уязвимость метода MediaCacheStream::NotifyDataReceived почтового клиента Thunderbird, браузеров Firefox и Firefox ESR связана с ошибкой использования памяти после освобождения. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обманным путем заставить пользователя открыть специально созданную веб-страницу и выполнить произвольный код в целевой системе
Вендор Red Hat Inc., Сообщество свободного программного обеспечения, АО «ИВК», ООО «Ред Софт», Mozilla Corp., АО "НППКТ"
Наименование ПО Red Hat Enterprise Linux, Debian GNU/Linux, Альт 8 СП Рабочая станция, РЕД ОС (запись в едином реестре российских программ №3751), Thunderbird, Альт 8 СП, Firefox, Firefox ESR, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО
  • 7 (Red Hat Enterprise Linux)
  • 9.0 (Debian GNU/Linux)
  • - (Альт 8 СП Рабочая станция)
  • 8 (Red Hat Enterprise Linux)
  • 10.0 (Debian GNU/Linux)
  • 7.2 Муром (РЕД ОС)
  • 8.1 Extended Update Support (Red Hat Enterprise Linux)
  • 8.2 Extended Update Support (Red Hat Enterprise Linux)
  • от 60.0 до 78.13 (Thunderbird)
  • 11.0 (Debian GNU/Linux)
  • - (Альт 8 СП)
  • до 91.0 (Firefox)
  • до 78.13 (Firefox ESR)
  • до 2.1 (ОСОН ОСнова Оnyx)
  • до 2.4.2 (ОСОН ОСнова Оnyx)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
  • Red Hat Inc. Red Hat Enterprise Linux 7
  • Сообщество свободного программного обеспечения Debian GNU/Linux 9.0
  • АО «ИВК» Альт 8 СП Рабочая станция -
  • Red Hat Inc. Red Hat Enterprise Linux 8
  • Сообщество свободного программного обеспечения Debian GNU/Linux 10.0
  • ООО «Ред Софт» РЕД ОС 7.2 Муром (запись в едином реестре российских программ №3751)
  • Red Hat Inc. Red Hat Enterprise Linux 8.1 Extended Update Support
  • Red Hat Inc. Red Hat Enterprise Linux 8.2 Extended Update Support
  • Сообщество свободного программного обеспечения Debian GNU/Linux 11.0
  • АО «ИВК» Альт 8 СП -
  • АО "НППКТ" ОСОН ОСнова Оnyx до 2.4.2 (запись в едином реестре российских программ №5913)
Тип ошибки Использование после освобождения
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 10.08.2021
Базовый вектор уязвимости
Уровень опасности уязвимости Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)
Возможные меры по устранению уязвимости
Использование рекомендаций производителя:
Для РедОС:
http://repo.red-soft.ru/redos/7.2c/x86_64/updates/

Для Альт 8 СП:
https://packages.altlinux.org/ru/sisyphus/srpms/thunderbird/changelog/
https://packages.altlinux.org/ru/sisyphus/srpms/firefox-esr/changelog/

Для Firefox:
использование рекомендаций производителя: https://www.mozilla.org/en-US/security/advisories/mfsa2021-33

Для Firefox ESR:
использование рекомендаций производителя: https://www.mozilla.org/en-US/security/advisories/mfsa2021-34

Для Thunderbird:
использование рекомендаций производителя: https://www.mozilla.org/en-US/security/advisories/mfsa2021-35

Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2021-29985

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2021-29985

Для ОСОН Основа:
Обновление программного обеспечения thunderbird до версии 1:78.13.0+repack-1~deb10u1.osnova1

Для ОСОН Основа:
Обновление программного обеспечения firefox-esr до версии 78.13.0esr+repack-1~deb10u1.osnova2
Обновление программного обеспечения thunderbird до версии 1:91.5.0+repack-2~deb10u1.osnova1
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения