Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2022-00808: Уязвимость функции перетаскивания изображений браузера Mozilla Firefox, позволяющая нарушителю выполнить произвольный код

Описание уязвимости	Уязвимость функции перетаскивания изображений браузера Mozilla Firefox связана с недостаточным предупреждением об опасных действиях. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с помощью преобразования копируемого пользователем изображения в исполняемый скрипт
Вендор	АО «Концерн ВНИИНС», ООО «Ред Софт», ФССП России, Mozilla Corp., АО «ИВК»
Наименование ПО	ОС ОН «Стрелец» (запись в едином реестре российских программ №6177), РЕД ОС (запись в едином реестре российских программ №3751), ОС ТД АИС ФССП России, Firefox ESR, Firefox, Альт 8 СП
Версия ПО	1.0 (ОС ОН «Стрелец») 7.3 (РЕД ОС) ИК6 (ОС ТД АИС ФССП России) до 91.6 (Firefox ESR) до 97 (Firefox) - (Альт 8 СП)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	АО «Концерн ВНИИНС» ОС ОН «Стрелец» 1.0 (запись в едином реестре российских программ №6177) ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751) ФССП России ОС ТД АИС ФССП России ИК6
Тип ошибки	Недостаточное предупреждение об опасных действиях
Идентификатор типа ошибки	CWE-357
Класс уязвимости	Уязвимость кода
Дата выявления	08.02.2022
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:H/Au:N/C:C/I:C/A:C CVSS 3.0: AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для продуктов Mozilla Corp.: Обновление программного обеспечения до версии 91.5.1 и выше Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Для ОС ТД АИС ФССП России: http://repo.red-soft.ru/goslinux/7/ic6/os/x86_106 Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#30032022 Для ОС Альт 8 СП: Обновление программного обеспечения до актуальной версии
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Злоупотребление функционалом Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	http://repo.red-soft.ru/goslinux/7/ic6/os/x86_106 https://altsp.su/obnovleniya-bezopasnosti/ https://redos.red-soft.ru/support/secure/ https://strelets.net/patchi-i-obnovleniya-bezopasnosti#30032022 https://www.cybersecurity-help.cz/vdb/SB2022020837
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2022-22756
Прочая информация	Данные уточняются

Последние изменения