БДУ - Print

BDU:2021-06180: Уязвимость обработки политик CSP браузера Mozilla Firefox и почтового клиента Mozilla Thunderbird, связанная с ошибками в настройках безопасности, позволяющая нарушителю обойти существующие ограничения безопасности

Описание уязвимости	Уязвимость обработки политик CSP браузера Mozilla Firefox и почтового клиента Mozilla Thunderbird связана с ошибками в настройках безопасности. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти существующие ограничения безопасности с помощью встраивания дополнительного содержимого в документы
Вендор	ООО «Ред Софт», АО «Концерн ВНИИНС», Mozilla Corp.
Наименование ПО	РЕД ОС (запись в едином реестре российских программ №3751), ОС ОН «Стрелец» (запись в едином реестре российских программ №6177), Thunderbird, Firefox, Firefox ESR
Версия ПО	7.2 Муром (РЕД ОС), 1.0 (ОС ОН «Стрелец»), до 91.4.0 (Thunderbird), до 95 (Firefox), до 91.4.0 (Firefox ESR)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	ООО «Ред Софт» РЕД ОС 7.2 Муром Не указана (запись в едином реестре российских программ №3751) АО «Концерн ВНИИНС» ОС ОН «Стрелец» 1.0 Не указана (запись в едином реестре российских программ №6177)
Тип ошибки	Элементы безопасности
Идентификатор типа ошибки	CWE-254
Класс уязвимости	Уязвимость архитектуры
Дата выявления	07.12.2021
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:P/I:P/A:N CVSS 3.0: AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,4)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для РедОС: http://repo.red-soft.ru/redos/7.2c/x86_64/updates/ Для программных продуктов Mozilla Corp.: https://www.mozilla.org/en-US/security/advisories/mfsa2021-52/ https://www.mozilla.org/en-US/security/advisories/mfsa2021-53/ https://www.mozilla.org/en-US/security/advisories/mfsa2021-54/ Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#30032022
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Злоупотребление функционалом
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://redos.red-soft.ru/updatesec/ https://www.cybersecurity-help.cz/vdb/SB2021120711 https://www.mozilla.org/en-US/security/advisories/mfsa2021-52/ https://www.mozilla.org/en-US/security/advisories/mfsa2021-53/ https://www.mozilla.org/en-US/security/advisories/mfsa2021-54/ https://strelets.net/patchi-i-obnovleniya-bezopasnosti#30032022
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2021-43543
Прочая информация	Данные уточняются