BDU:2020-05537: Уязвимость синтаксического анализа и загрузки событий в коде SVG веб-браузера Firefox и почтового клиента Thunderbird, позволяющая нарушителю проводить межсайтовые сценарные атаки (XSS)

Описание уязвимости Уязвимость синтаксического анализа и загрузки событий в коде SVG веб-браузера Firefox и почтового клиента Thunderbird связана с отсутствием проверки целостности. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, проводить межсайтовые сценарные атаки (XSS)
Вендор Red Hat Inc., Сообщество свободного программного обеспечения, Mozilla Corp., АО «Концерн ВНИИНС»
Наименование ПО Red Hat Enterprise Linux, Debian GNU/Linux, Firefox, Thunderbird, ОС ОН «Стрелец» (запись в едином реестре российских программ №6177)
Версия ПО 6 (Red Hat Enterprise Linux), 7 (Red Hat Enterprise Linux), 9.0 (Debian GNU/Linux), 8 (Red Hat Enterprise Linux), 10.0 (Debian GNU/Linux), 8.0 Update Services for SAP Solutions (Red Hat Enterprise Linux), 8.1 Extended Update Support (Red Hat Enterprise Linux), 8.2 Extended Update Support (Red Hat Enterprise Linux), до 83.0-1 (Firefox), до 78.5 (Thunderbird), 1.0 (ОС ОН «Стрелец»)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
  • Red Hat Inc. Red Hat Enterprise Linux 6 64-bit
  • Red Hat Inc. Red Hat Enterprise Linux 7 IA-32
  • Red Hat Inc. Red Hat Enterprise Linux 6 Не указана
  • Red Hat Inc. Red Hat Enterprise Linux 7 Не указана
  • Сообщество свободного программного обеспечения Debian GNU/Linux 9.0 Не указана
  • Red Hat Inc. Red Hat Enterprise Linux 8 Не указана
  • Сообщество свободного программного обеспечения Debian GNU/Linux 10.0 Не указана
  • Red Hat Inc. Red Hat Enterprise Linux 8.0 Update Services for SAP Solutions Не указана
  • Red Hat Inc. Red Hat Enterprise Linux 8.1 Extended Update Support Не указана
  • Red Hat Inc. Red Hat Enterprise Linux 8.2 Extended Update Support Не указана
  • АО «Концерн ВНИИНС» ОС ОН «Стрелец» 1.0 Не указана (запись в едином реестре российских программ №6177)
Тип ошибки Неправильное подтверждение значения проверки целостности
Идентификатор типа ошибки CWE-354
Класс уязвимости Уязвимость кода
Дата выявления 17.11.2020
Базовый вектор уязвимости
  • CVSS 2.0: AV:N/AC:H/Au:N/C:C/I:C/A:C
  • CVSS 3.0: AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для программных продуктов Mozilla Corp.:
https://www.mozilla.org/en-US/security/advisories/mfsa2020-50/
https://www.mozilla.org/en-US/security/advisories/mfsa2020-52/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-26951

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2020-26951

Для ОС ОН «Стрелец»:
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Подмена при взаимодействии
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются