Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2022-00287: Уязвимость почтового клиента Thunderbird, браузеров Firefox и Firefox ESR, связанная с неверным ограничением визуализируемых слоев или фреймов пользовательского интерфейса из-за состояния гонки при вызове reportValidity, позволяющая нарушителю обойти полноэкранное уведомление и провести спуфинговую атаку

Описание уязвимости	Уязвимость почтового клиента Thunderbird, браузеров Firefox и Firefox ESR связана с неверным ограничением визуализируемых слоев или фреймов пользовательского интерфейса из-за состояния гонки при вызове reportValidity. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти полноэкранное уведомление и провести спуфинговую атаку
Вендор	Сообщество свободного программного обеспечения, ООО «Ред Софт», Mozilla Corp., АО «ИВК»
Наименование ПО	Debian GNU/Linux, РЕД ОС (запись в едином реестре российских программ №3751), Firefox, Firefox ESR, Thunderbird, Альт 8 СП
Версия ПО	9.0 (Debian GNU/Linux) 10.0 (Debian GNU/Linux) 11.0 (Debian GNU/Linux) 7.3 (РЕД ОС) до 96 (Firefox) до 91.5 (Firefox ESR) до 91.5 (Thunderbird) - (Альт 8 СП)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Сообщество свободного программного обеспечения Debian GNU/Linux 9.0 Сообщество свободного программного обеспечения Debian GNU/Linux 10.0 Сообщество свободного программного обеспечения Debian GNU/Linux 11.0 ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751)
Тип ошибки	Некорректное ограничение визуализируемых слоев пользовательского интерфейса
Идентификатор типа ошибки	CWE-1021
Класс уязвимости	Уязвимость кода
Дата выявления	11.01.2022
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:N/I:P/A:N CVSS 3.0: AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,3)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для программных продуктов Mozilla Corp.: https://www.mozilla.org/en-US/security/advisories/mfsa2022-02/#CVE-2022-22746 https://www.mozilla.org/en-US/security/advisories/mfsa2022-01/#CVE-2022-22746 https://www.mozilla.org/en-US/security/advisories/mfsa2022-03/#CVE-2022-22746 Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Для Debian: https://security-tracker.debian.org/tracker/CVE-2022-22746 Для ОС Альт 8 СП: Обновление программного обеспечения до актуальной версии
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ https://altsp.su/obnovleniya-bezopasnosti/ https://security-tracker.debian.org/tracker/CVE-2022-22746 https://www.mozilla.org/en-US/security/advisories/mfsa2022-01/#CVE-2022-22746 https://www.mozilla.org/en-US/security/advisories/mfsa2022-02/#CVE-2022-22746 https://www.mozilla.org/en-US/security/advisories/mfsa2022-03/#CVE-2022-22746
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2022-22746
Прочая информация	Данные уточняются

Последние изменения