Mozilla исправляет 17 уязвимостей в браузере Firefox


MozillaКомпанией Mozilla была выпущена обновленная версия браузера Mozilla Firefox 44. Всего в новой версии браузера было устранено 17 уязвимостей. Из них наиболее опасные ошибки позволяли:

  • скомпрометировать систему;
  • осуществить спуфинг-атаку;
  • перехватить данные в ходе атаки "человек посередине".


Так разработчиками было устранено четыре уязвимости, позволяющие скомпрометировать систему:

  • две ошибки (CVE-2016-1930 и CVE-2016-1931) - позволяющие выполнить произвольный код, когда пользователь запускал специально сформированный контент;

  • уязвимость (CVE-2016-1932) - позволяла скомпрометировать систему при запуске специально сформированной GIF-анимации;

  • последняя ошибка - существовала из-за ошибки переполнения буфера в функции BufferSubData(), позволяя злоумышленнику выполнить произвольный код при обработке WebGL-контента.


Несколько уязвимостей существовали из-за некорректной обработки файлов cookie. Например, уязвимость CVE-2016-1937, позволяла удаленному пользователю вызвать ошибку обработки и раскрыть данные жертвы. Для этого ему достаточно вставить вертикальный разделитель в одно из значений файла.

Еще ряд ошибок позволял осуществить спуфинг-атаку через адресную строку браузера. Эти уязвимости в основном затрагивают версию Firefox для Android. И лишь одна ошибка (CVE-2016-1943) актуальна для версии браузера для настольных платформ.

Уязвимости CVE-2016-1948 - здесь ошибка существует из-за использования незашифрованного протокола HTTP для загрузки тем оформления браузера. Эксплуатируя данную брешь, осуществив атаку "человек посередине", злоумышленник может перехватить содержимое пакетов и изменить данные.


Обновлено (27.01.2016 21:06)