Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2022-00808: Уязвимость функции перетаскивания изображений браузера Mozilla Firefox, позволяющая нарушителю выполнить произвольный код

Основная информация
Подробнее

Описание уязвимости

Уязвимость функции перетаскивания изображений браузера Mozilla Firefox связана с недостаточным предупреждением об опасных действиях. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с помощью преобразования копируемого пользователем изображения в исполняемый скрипт

Вендор

АО «Концерн ВНИИНС», ООО «Ред Софт», ФССП России, Mozilla Corp., АО «ИВК»

Наименование ПО

ОС ОН «Стрелец» (запись в едином реестре российских программ №6177), РЕД ОС (запись в едином реестре российских программ №3751), ОС ТД АИС ФССП России, Firefox ESR, Firefox, Альт 8 СП

Версия ПО

1.0 (ОС ОН «Стрелец»)
7.3 (РЕД ОС)
ИК6 (ОС ТД АИС ФССП России)
до 91.6 (Firefox ESR)
до 97 (Firefox)
- (Альт 8 СП)

Тип ПО

Операционная система, Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

АО «Концерн ВНИИНС» ОС ОН «Стрелец» 1.0 (запись в едином реестре российских программ №6177)
ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751)
ФССП России ОС ТД АИС ФССП России ИК6

Тип ошибки

Недостаточное предупреждение об опасных действиях

Идентификатор типа ошибки

CWE-357

Класс уязвимости

Уязвимость кода

Дата выявления

08.02.2022

Базовый вектор уязвимости

CVSS 2.0: AV:N/AC:H/Au:N/C:C/I:C/A:C

CVSS 3.0: AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для продуктов Mozilla Corp.:
Обновление программного обеспечения до версии 91.5.1 и выше

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС ТД АИС ФССП России:
http://repo.red-soft.ru/goslinux/7/ic6/os/x86_106

Для ОС ОН «Стрелец»:
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#30032022

Для ОС Альт 8 СП:
Обновление программного обеспечения до актуальной версии

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Способ эксплуатации

Злоупотребление функционалом
Манипулирование структурами данных

Способ устранения

Обновление программного обеспечения

Информация об устранении

Уязвимость устранена

Ссылки на источники

http://repo.red-soft.ru/goslinux/7/ic6/os/x86_106
https://altsp.su/obnovleniya-bezopasnosti/
https://redos.red-soft.ru/support/secure/
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#30032022
https://www.cybersecurity-help.cz/vdb/SB2022020837

Идентификаторы других систем описаний уязвимостей

CVE: CVE-2022-22756

Прочая информация

Данные уточняются

Последние изменения