BDU:2022-01146: Уязвимость параметра XSLT браузеров Mozilla Firefox и Focus, позволяющая нарушителю выполнить произвольный код

Описание уязвимости Уязвимость параметра XSLT браузеров Mozilla Firefox и Focus связана с использованием памяти после ее освобождения. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Вендор ООО «Ред Софт», ФССП России, Mozilla Corp., АО «ИВК», АО "НППКТ"
Наименование ПО РЕД ОС (запись в едином реестре российских программ №3751), ОС ТД АИС ФССП России, Firefox, Firefox ESR, Firefox for Android, Focus, Альт 8 СП, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО
  • 7.3 (РЕД ОС)
  • ИК6 (ОС ТД АИС ФССП России)
  • до 97.0.2 (Firefox)
  • до 91.6.1 (Firefox ESR)
  • до 97.3 (Firefox for Android)
  • до 97.3 (Focus)
  • - (Альт 8 СП)
  • до 2.4.3 (ОСОН ОСнова Оnyx)
Тип ПО Операционная система, Прикладное ПО информационных систем, Сетевое средство, Сетевое программное средство
Операционные системы и аппаратные платформы
Тип ошибки Использование после освобождения
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 05.03.2022
Базовый вектор уязвимости
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости
1. Использование рекомендаций производителя: https://www.mozilla.org/en-US/security/advisories/mfsa2022-09/
2. Доступ только к доверенным Интернет-ресурсам
3. Использование межсетевого экрана
4. Запуск браузера от имени пользователя с минимальными привилегиями

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/

Для ОС Альт 8 СП:
Обновление программного обеспечения до актуальной версии

Для ОСОН Основа:
Обновление программного обеспечения firefox-esr до версии 91.7.0esr+repack-1~deb10u1.osnova1

Для ОСОН Основа:
Обновление программного обеспечения thunderbird до версии 1:91.7.0+repack-2~deb10u1.osnova1
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения