Mozilla исправяет 14 уязвимостей в браузере Firefox


MozillaВо вторник, 26 апреля, компания Mozilla выпустила обновления безопасности для своего браузера. В версии Firefox 46 было исправлено 14 уязвимостей.

Уязвимости CVE-2016-2804, CVE-2016-2805, CVE-2016-2806, CVE-2016-2807 и CVE-2016-2808 позволяют злоумышленнику удаленно выполнить код и получить контроль над системой. Эксплуатация первых четырех уязвимостей позволяет вызвать повреждение памяти с помощью специально сконфигурированного HTML-файла. Выполнение произвольного кода также возможно с помощью уязвимостей в BeginReading() (CVE-2016-2811) и в ServiceWorkerManager (CVE-2016-2812).

Уязвимость CVE-2016-2809 в Mozilla Maintenance Service позволяет удалять произвольные файлы и повышать привилегии на ОС Windows.

Уязвимость CVE-2016-2810 позволяет приложению читать данные, в том числе историю просмотров в браузере и сохраненные пароли. Проблема затрагивает устройства под управлением Android до версии 5.0.

Эксплуатация уязвимости CVE-2016-2813 позволяет злоумышленнику перехватывать данные датчиков движения Android-устройства и с их помощью фиксировать нажатия на экран, что может привести к похищению PIN-кодов.

Уязвимость CVE-2016-2814 позволяет вызвать переполнение буфера, а используя CVE-2016-2816, можно обойти политику защиты контента (CSP). С помощью CVE-2016-2817 можно осуществить межсайтовый скриптинг и повысить свои привилегии. Уязвимость CVE-2016-2820 возникает из-за того, что Firefox Health Report принимает определенные события от недоверенных доменов.


Обновлено (27.04.2016 23:54)