Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2021-06180: Уязвимость обработки политик CSP браузера Mozilla Firefox и почтового клиента Mozilla Thunderbird, связанная с ошибками в настройках безопасности, позволяющая нарушителю обойти существующие ограничения безопасности

Описание уязвимости	Уязвимость обработки политик CSP браузера Mozilla Firefox и почтового клиента Mozilla Thunderbird связана с ошибками в настройках безопасности. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти существующие ограничения безопасности с помощью встраивания дополнительного содержимого в документы
Вендор	ООО «Ред Софт», АО «Концерн ВНИИНС», Mozilla Corp., АО "НППКТ"
Наименование ПО	РЕД ОС (запись в едином реестре российских программ №3751), ОС ОН «Стрелец» (запись в едином реестре российских программ №6177), Thunderbird, Firefox, Firefox ESR, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО	7.2 Муром (РЕД ОС) 1.0 (ОС ОН «Стрелец») до 91.4.0 (Thunderbird) до 95 (Firefox) до 91.4.0 (Firefox ESR) до 2.4.2 (ОСОН ОСнова Оnyx)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	ООО «Ред Софт» РЕД ОС 7.2 Муром (запись в едином реестре российских программ №3751) АО «Концерн ВНИИНС» ОС ОН «Стрелец» 1.0 (запись в едином реестре российских программ №6177)
Тип ошибки	Элементы безопасности
Идентификатор типа ошибки	CWE-254
Класс уязвимости	Уязвимость архитектуры
Дата выявления	07.12.2021
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:P/I:P/A:N CVSS 3.0: AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,4)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для РедОС: http://repo.red-soft.ru/redos/7.2c/x86_64/updates/ Для программных продуктов Mozilla Corp.: https://www.mozilla.org/en-US/security/advisories/mfsa2021-52/ https://www.mozilla.org/en-US/security/advisories/mfsa2021-53/ https://www.mozilla.org/en-US/security/advisories/mfsa2021-54/ Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#30032022 Для ОСОН Основа: Обновление программного обеспечения thunderbird до версии 1:91.5.0+repack-2~deb10u1.osnova1 Для ОСОН Основа: Обновление программного обеспечения firefox-esr до версии 91.5.0esr+repack-1~deb10u1.osnova1
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Злоупотребление функционалом
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://redos.red-soft.ru/updatesec/ https://www.cybersecurity-help.cz/vdb/SB2021120711 https://www.mozilla.org/en-US/security/advisories/mfsa2021-52/ https://www.mozilla.org/en-US/security/advisories/mfsa2021-53/ https://www.mozilla.org/en-US/security/advisories/mfsa2021-54/ https://strelets.net/patchi-i-obnovleniya-bezopasnosti#30032022 https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.4.2/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2021-43543
Прочая информация	Данные уточняются

Последние изменения