BDU:2021-06192: Уязвимость браузера Mozilla Firefox и почтового клиента Mozilla Thunderbird, связанная с выполнением цикла с недоступным условием выхода, позволяющая нарушителю выполнить отказ в обслуживании

Описание уязвимости Уязвимость браузера Mozilla Firefox и почтового клиента Mozilla Thunderbird связана с выполнением цикла с недоступным условием выхода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить отказ в обслуживании с помощью ошибки бесконечного цикла при использовании Location API
Вендор ООО «Ред Софт», АО «Концерн ВНИИНС», Mozilla Corp.
Наименование ПО РЕД ОС (запись в едином реестре российских программ №3751), ОС ОН «Стрелец» (запись в едином реестре российских программ №6177), Thunderbird, Firefox, Firefox ESR
Версия ПО 7.2 Муром (РЕД ОС), 1.0 (ОС ОН «Стрелец»), до 91.4.0 (Thunderbird), до 95 (Firefox), до 91.4.0 (Firefox ESR)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Тип ошибки Выполнение цикла с недоступным условием выхода (бесконечный цикл)
Идентификатор типа ошибки CWE-835
Класс уязвимости Уязвимость кода
Дата выявления 07.12.2021
Базовый вектор уязвимости
  • CVSS 2.0: AV:N/AC:L/Au:N/C:N/I:N/A:P
  • CVSS 3.0: AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,3)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для программных продуктов Mozilla Corp.:
https://www.mozilla.org/en-US/security/advisories/mfsa2021-52/
https://www.mozilla.org/en-US/security/advisories/mfsa2021-54/
https://www.mozilla.org/en-US/security/advisories/mfsa2021-53/


Для РедОС:

http://repo.red-soft.ru/redos/7.2c/x86_64/updates/

Для ОС ОН «Стрелец»:
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#30032022
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются