| Описание уязвимости | Уязвимость функции nsSHistory почтового клиента Thunderbird, браузеров Firefox и Firefox ESR связана с использованием памяти после ее освобождения. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код |
| Вендор | Сообщество свободного программного обеспечения, ФССП России, АО «ИВК», Mozilla Corp., АО "НППКТ" |
| Наименование ПО | Debian GNU/Linux, ОС ТД АИС ФССП России, Альт 8 СП, Firefox, Firefox ESR, Thunderbird, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913) |
| Версия ПО | 9.0 (Debian GNU/Linux), 10.0 (Debian GNU/Linux), 11.0 (Debian GNU/Linux), ИК6 (ОС ТД АИС ФССП России), - (Альт 8 СП), до 102 (Firefox), до 91.11 (Firefox ESR), до 102 (Thunderbird), до 91.11 (Thunderbird), до 2.5.1 (ОСОН ОСнова Оnyx), до 2.6 (ОСОН ОСнова Оnyx) |
| Тип ПО | Операционная система, Прикладное ПО информационных систем |
| Операционные системы и аппаратные платформы |
|
| Тип ошибки | Использование после освобождения |
| Идентификатор типа ошибки | CWE-416 |
| Класс уязвимости | Уязвимость кода |
| Дата выявления | 28.06.2022 |
| Базовый вектор уязвимости |
|
| Уровень опасности уязвимости | Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5) |
| Возможные меры по устранению уязвимости |
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков. Компенсирующие меры: - использование средств антивирусной защиты с функцией контроля доступа к веб-ресурсам; - контролируемый доступ в сеть Интернет – регламентация разрешенных сетевых ресурсов и соединений; - запуск приложений от имени пользователя с минимальными возможными привилегиями в операционной системе; - использование альтернативных веб-браузеров; - применение систем обнаружения и предотвращения вторжений. Использование рекомендаций: Для программных продуктов Mozilla Corp.: https://www.mozilla.org/en-US/security/advisories/mfsa2022-24/ https://www.mozilla.org/en-US/security/advisories/mfsa2022-25/ https://www.mozilla.org/en-US/security/advisories/mfsa2022-26/ Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2022-34470 Для ОС ТД АИС ФССП России: https://goslinux.fssp.gov.ru/2726972/ Для ОСОН Основа: Обновление программного обеспечения firefox-esr до версии 91.11.0esr+repack-1~deb10u1.osnova1 Для ОСОН Основа: Обновление программного обеспечения thunderbird до версии 1:91.11.0+repack-1~deb10u1.osnova1 Для ОСОН ОСнова Оnyx: Обновление программного обеспечения thunderbird до версии 1:102.4.0+repack-1~deb10u1.osnova1 Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства |
| Статус уязвимости | Подтверждена производителем |
| Наличие эксплойта | Данные уточняются |
| Способ эксплуатации |
|
| Способ устранения | Обновление программного обеспечения |
| Информация об устранении | Уязвимость устранена |
| Ссылки на источники |
https://www.mozilla.org/en-US/security/advisories/mfsa2022-24/
https://www.mozilla.org/en-US/security/advisories/mfsa2022-25/
https://www.mozilla.org/en-US/security/advisories/mfsa2022-26/
https://security-tracker.debian.org/tracker/CVE-2022-34470
https://goslinux.fssp.gov.ru/2726972/
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.5.1/
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.5.1/
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.6/
https://altsp.su/obnovleniya-bezopasnosti/
|
| Идентификаторы других систем описаний уязвимостей |
|
| Прочая информация | Данные уточняются |