БДУ - Уязвимости

BDU:2021-05705: Уязвимость браузера Mozilla Firefox, связанная с недостаточным предупреждением об опасных действиях, позволяющая нарушителю провести атаку с использованием спуфинга

Описание уязвимости	Уязвимость браузера Mozilla Firefox связана с недостаточным предупреждением об опасных действиях. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, провести атаку с использованием спуфинга путем подмены пользовательского интерфейса браузера.
Вендор	ООО «Ред Софт», Mozilla Corp., АО "НППКТ"
Наименование ПО	РЕД ОС (запись в едином реестре российских программ №3751), Mozilla Firefox, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО	7.2 Муром (РЕД ОС) от 80.0 до 93.0 (Mozilla Firefox) до 2.4.2 (ОСОН ОСнова Оnyx)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	ООО «Ред Софт» РЕД ОС 7.2 Муром (запись в едином реестре российских программ №3751)
Тип ошибки	Недостаточное предупреждение об опасных действиях
Идентификатор типа ошибки	CWE-357
Класс уязвимости	Уязвимость кода
Дата выявления	02.11.2021
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:P/I:P/A:N CVSS 3.0: AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,4)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для Mozilla: Обновление программного обеспечения до актуальной версии Для РедОС: http://repo.red-soft.ru/redos/7.2c/x86_64/updates/ Для ОСОН Основа: Обновление программного обеспечения thunderbird до версии 1:91.5.0+repack-2~deb10u1.osnova1 Для ОСОН Основа: Обновление программного обеспечения firefox-esr до версии 91.5.0esr+repack-1~deb10u1.osnova1
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://redos.red-soft.ru/updatesec/ https://www.cybersecurity-help.cz/vdb/SB2021110228 https://www.securitylab.ru/vulnerability/526192.php https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.4.2/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2021-38506
Прочая информация	Данные уточняются

Последние изменения

27.03.2023 Уязвимость микропрограммного обеспечения сервера Siemens TIA Project-Server, позволяющая нарушителю повысить свои привилегии
27.03.2023 Уязвимость ядра браузера Google Chrome, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
27.03.2023 Уязвимость компонента Metrics браузера Google Chrome, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
27.03.2023 Уязвимость интерфейса Web Payments API браузера Google Chrome, позволяющая нарушителю обойти ограничения безопасности
27.03.2023 Уязвимость интерфейса Web Payments API браузера Google Chrome, позволяющая нарушителю обойти ограничения безопасности
27.03.2023 Уязвимость реализации запросов на получение разрешений сайтов (Permission Prompts) браузера Google Chrome, позволяющая нарушителю обойти ограничения безопасности
27.03.2023 Уязвимость набора инструментов для веб-разработки DevTools браузера Google Chrome, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
27.03.2023 Уязвимость технологии WebRTC браузера Google Chrome, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
27.03.2023 Уязвимость компонента Extensions API браузера Google Chrome, позволяющая нарушителю обойти ограничения безопасности
27.03.2023 Уязвимость библиотеки SwiftShader браузера Google Chrome, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»