BDU:2022-00804: Уязвимость механизма Web Workers браузера Mozilla Firefox и почтового клиента Mozilla Thunderbird, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Описание уязвимости Уязвимость механизма Web Workers браузера Mozilla Firefox и почтового клиента Mozilla Thunderbird связана с раскрытием информации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации
Вендор АО «Концерн ВНИИНС», ООО «Ред Софт», ФССП России, Mozilla Corp., АО «ИВК»
Наименование ПО ОС ОН «Стрелец» (запись в едином реестре российских программ №6177), РЕД ОС (запись в едином реестре российских программ №3751), ОС ТД АИС ФССП России, Firefox ESR, Firefox, Альт 8 СП
Версия ПО 1.0 (ОС ОН «Стрелец»), 7.3 (РЕД ОС), ИК6 (ОС ТД АИС ФССП России), до 91.6 (Firefox ESR), до 97 (Firefox), - (Альт 8 СП)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Тип ошибки Раскрытие информации
Идентификатор типа ошибки CWE-200
Класс уязвимости Уязвимость кода
Дата выявления 08.02.2022
Базовый вектор уязвимости
  • CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:N/A:N
  • CVSS 3.0: AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для продуктов Mozilla Corp.:
https://www.mozilla.org/en-US/security/advisories/mfsa2022-05/
https://www.mozilla.org/en-US/security/advisories/mfsa2022-04/

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС ТД АИС ФССП России:
http://repo.red-soft.ru/goslinux/7/ic6/os/x86_106

Для ОС ОН «Стрелец»:
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#30032022

Для ОС Альт 8 СП:
Обновление программного обеспечения до актуальной версии
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Несанкционированный сбор информации
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются