BDU:2023-02677: Уязвимость метода window.open браузеров Mozilla Firefox, Focus for Android, Mozilla Firefox ESR и почтового клиента Thunderbird, позволяющая нарушителю скрыть полноэкранные уведомления и осуществить спуфинг-атаку

Описание уязвимости

Уязвимость метода window.open браузеров Mozilla Firefox, Focus for Android, Mozilla Firefox ESR и почтового клиента Thunderbird связана с ошибками представления информации пользовательским интерфейсом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, скрыть полноэкранные уведомления и осуществить спуфинг-атаку

Вендор

Сообщество свободного программного обеспечения, Canonical Ltd., ООО «Ред Софт», ФССП России, АО «ИВК», ООО «РусБИТех-Астра», Mozilla Corp., АО "НППКТ"

Наименование ПО

Debian GNU/Linux, Ubuntu, РЕД ОС (запись в едином реестре российских программ №3751), ОС ТД АИС ФССП России, Альт 8 СП (запись в едином реестре российских программ №4305), Astra Linux Special Edition (запись в едином реестре российских программ №369), Thunderbird, Firefox ESR, Firefox for Android, Firefox, Focus for Android, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)

Версия ПО

  • 10 (Debian GNU/Linux)
  • 20.04 LTS (Ubuntu)
  • 11 (Debian GNU/Linux)
  • 7.3 (РЕД ОС)
  • ИК6 (ОС ТД АИС ФССП России)
  • - (Альт 8 СП)
  • 22.04 LTS (Ubuntu)
  • 4.7 (Astra Linux Special Edition)
  • 22.10 (Ubuntu)
  • до 102.10 (Thunderbird)
  • 18.04 ESM (Ubuntu)
  • до 102.10 (Firefox ESR)
  • до 112 (Firefox for Android)
  • до 112 (Firefox)
  • до 112 (Focus for Android)
  • до 2.8 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система, Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Тип ошибки

UI Ложное представление критической информации пользовательским интерфейсом.

Идентификатор типа ошибки

Класс уязвимости

Уязвимость кода

Дата выявления

11.04.2023

Базовый вектор уязвимости

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,4)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для продуктов Mozilla Corp.:
https://www.mozilla.org/en-US/security/advisories/mfsa2023-13/
https://www.mozilla.org/en-US/security/advisories/mfsa2023-14/
https://www.mozilla.org/en-US/security/advisories/mfsa2023-15/

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Ubuntu:
https://ubuntu.com/security/notices/USN-6015-1

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-29533

Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения firefox-esr до версии 102.13.0esr+repack-1~deb10u1.osnova1
Обновление программного обеспечения thunderbird до версии 1:102.13.1+repack-1~deb10u1.osnova1

Для Astra Linux Special Edition 4.7:
- обновить пакет firefox до 113.0.2+build1-0ubuntu0.20.04.1+ci202306011642+astra12 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47
- обновить пакет thunderbird до 1:115.3.1+build1-0ubuntu1+ci202310041156+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Способ эксплуатации

  • Злоупотребление функционалом

Способ устранения

Обновление программного обеспечения

Информация об устранении

Уязвимость устранена

Идентификаторы других систем описаний уязвимостей

Прочая информация

Данные уточняются
Последние изменения