BDU:2022-00809: Уязвимость элемента iframe браузера Mozilla Firefox, позволяющая нарушителю обойти введенные ограничения безопасности

Описание уязвимости

Уязвимость элемента iframe браузера Mozilla Firefox и почтового клиента Mozilla Thunderbird связана с недостатками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти введенные ограничения безопасности с помощью добавления к документу элемента iframe с JavaScript событием

Вендор

АО «Концерн ВНИИНС», ООО «Ред Софт», ФССП России, Mozilla Corp., АО «ИВК»

Наименование ПО

ОС ОН «Стрелец» (запись в едином реестре российских программ №6177), РЕД ОС (запись в едином реестре российских программ №3751), ОС ТД АИС ФССП России, Firefox ESR, Firefox, Альт 8 СП

Версия ПО

  • 1.0 (ОС ОН «Стрелец»)
  • 7.3 (РЕД ОС)
  • ИК6 (ОС ТД АИС ФССП России)
  • до 91.6 (Firefox ESR)
  • до 97 (Firefox)
  • - (Альт 8 СП)

Тип ПО

Операционная система, Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Тип ошибки

Разрешения, привилегии и средства управления доступом

Идентификатор типа ошибки

Класс уязвимости

Уязвимость кода

Дата выявления

08.02.2022

Базовый вектор уязвимости

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,4)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для продуктов Mozilla Corp.:
https://www.mozilla.org/en-US/security/advisories/mfsa2022-04/
https://www.mozilla.org/en-US/security/advisories/mfsa2022-05/

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС ТД АИС ФССП России:
http://repo.red-soft.ru/goslinux/7/ic6/os/x86_106

Для ОС ОН «Стрелец»:
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#30032022

Для ОС Альт 8 СП:
Обновление программного обеспечения до актуальной версии

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Способ эксплуатации

  • Нарушение авторизации

Способ устранения

Обновление программного обеспечения

Информация об устранении

Уязвимость устранена

Идентификаторы других систем описаний уязвимостей

Прочая информация

Данные уточняются
Последние изменения