BDU:2023-02675: Уязвимость службы Mozilla Maintenance браузеров Mozilla Firefox, Focus for Android, Mozilla Firefox ESR и почтового клиента Thunderbird, позволяющая нарушителю получить доступ на чтение, изменение или удаление данных

Описание уязвимости Уязвимость службы Mozilla Maintenance браузеров Mozilla Firefox, Focus for Android, Mozilla Firefox ESR и почтового клиента Thunderbird связана с недостатками разграничения доступа при проверке подписи файлов обновления. Эксплуатация уязвимости может позволить нарушителю получить доступ на чтение, изменение или удаление данных
Вендор ООО «Ред Софт», ФССП России, АО «ИВК», Mozilla Corp., АО "НППКТ"
Наименование ПО РЕД ОС (запись в едином реестре российских программ №3751), ОС ТД АИС ФССП России, Альт 8 СП (запись в едином реестре российских программ №4305), Thunderbird, Firefox ESR, Firefox for Android, Firefox, Focus for Android, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО 7.3 (РЕД ОС), ИК6 (ОС ТД АИС ФССП России), - (Альт 8 СП), до 102.10 (Thunderbird), до 102.10 (Firefox ESR), до 112 (Firefox for Android), до 112 (Firefox), до 112 (Focus for Android), до 2.8 (ОСОН ОСнова Оnyx)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Тип ошибки Разрешения, привилегии и средства управления доступом
Идентификатор типа ошибки CWE-264
Класс уязвимости Уязвимость архитектуры
Дата выявления 11.04.2023
Базовый вектор уязвимости
  • CVSS 2.0: AV:L/AC:L/Au:S/C:P/I:P/A:P
  • CVSS 3.0: AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для продуктов Mozilla Corp.:
https://www.mozilla.org/en-US/security/advisories/mfsa2023-13/
https://www.mozilla.org/en-US/security/advisories/mfsa2023-14/
https://www.mozilla.org/en-US/security/advisories/mfsa2023-15/

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения thunderbird до версии 1:102.13.1+repack-1~deb10u1.osnova1
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Нарушение авторизации
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
https://www.mozilla.org/en-US/security/advisories/mfsa2023-13/ https://www.mozilla.org/en-US/security/advisories/mfsa2023-14/ https://www.mozilla.org/en-US/security/advisories/mfsa2023-15/ https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-thunderbird-cve-2023-0547-cve-2023-1945-cve-2023-29479-cve-2023-29531-cve/?sphrase_id=177763 https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-firefox-cve-2023-1945-cve-2023-29531-cve-2023-29532-cve-2023-29533-cve-20/?sphrase_id=177763 https://altsp.su/obnovleniya-bezopasnosti/ https://altsp.su/obnovleniya-bezopasnosti/ https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.8/
Идентификаторы других систем описаний уязвимостей
Прочая информация https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-firefox-cve-2023-1945-cve-2023-29531-cve-2023-29532-cve-2023-29533-cve-20/ https://www.mozilla.org/en-US/security/advisories/mfsa2023-13/ https://www.mozilla.org/en-US/security/advisories/mfsa2023-14/ https://www.mozilla.org/en-US/security/advisories/mfsa2023-15/

© ФАУ "ГНИИИ ПТЗИ ФСТЭК России"