Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-03470

Опубликовано: 26 июн. 2018
Источник: fstec
CVSS3: 8.1
CVSS2: 9.3
EPSS Низкий

Описание

Уязвимость браузеров Firefox и Firefox ESR и почтового клиента Thunderbird связана с ошибками в настройках безопасности. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код в результате запуска вредоносного исполняемого файла

Вендор

АО «ИВК»
Mozilla Corp.

Наименование ПО

Альт Линукс СПТ
Альт 8 СП Сервер
Альт 8 СП Рабочая станция
Firefox
Firefox ESR
Thunderbird

Версия ПО

7.0 (Альт Линукс СПТ)
- (Альт 8 СП Сервер)
- (Альт 8 СП Рабочая станция)
до 61 (Firefox)
до 52.9 (Firefox ESR)
до 52.9 (Thunderbird)
от 53.0 до 60.1.0 (Firefox ESR)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

АО «ИВК» Альт Линукс СПТ 7.0
АО «ИВК» Альт 8 СП Сервер -
АО «ИВК» Альт 8 СП Рабочая станция -
Mozilla Corp. Firefox до 61
Mozilla Corp. Thunderbird до 52.9
Microsoft Corp Windows 10 -

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,3)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для программных продуктов Mozilla Corp.:
https://www.mozilla.org/security/advisories/mfsa2018-15/
https://www.mozilla.org/security/advisories/mfsa2018-16/
https://www.mozilla.org/security/advisories/mfsa2018-19/
Для Альт 8 СП Рабочая станция и Альт 8 СП Сервер:
https://cve.basealt.ru/otchet-po-obnovleniiam-ot-08072019.html
Для Альт Линукс СПТ:
https://cve.basealt.ru/otchet-po-obnovleniiam-ot-31072019.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 83%
0.01952
Низкий

8.1 High

CVSS3

9.3 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2018-12368

CVSS3: 8.1
ubuntu
больше 7 лет назад

Windows 10 does not warn users before opening executable files with the SettingContent-ms extension even when they have been downloaded from the internet and have the "Mark of the Web." Without the warning, unsuspecting users unfamiliar with this new file type might run an unwanted executable. This also allows a WebExtension with the limited downloads.open permission to execute arbitrary code without user interaction on Windows 10 systems. *Note: this issue only affects Windows operating systems. Other operating systems are unaffected.*. This vulnerability affects Thunderbird < 60, Thunderbird < 52.9, Firefox ESR < 60.1, Firefox ESR < 52.9, and Firefox < 61.

redhat логотип

CVE-2018-12368

CVSS3: 8.1
redhat
больше 7 лет назад

Windows 10 does not warn users before opening executable files with the SettingContent-ms extension even when they have been downloaded from the internet and have the "Mark of the Web." Without the warning, unsuspecting users unfamiliar with this new file type might run an unwanted executable. This also allows a WebExtension with the limited downloads.open permission to execute arbitrary code without user interaction on Windows 10 systems. *Note: this issue only affects Windows operating systems. Other operating systems are unaffected.*. This vulnerability affects Thunderbird < 60, Thunderbird < 52.9, Firefox ESR < 60.1, Firefox ESR < 52.9, and Firefox < 61.

nvd логотип

CVE-2018-12368

CVSS3: 8.1
nvd
больше 7 лет назад

Windows 10 does not warn users before opening executable files with the SettingContent-ms extension even when they have been downloaded from the internet and have the "Mark of the Web." Without the warning, unsuspecting users unfamiliar with this new file type might run an unwanted executable. This also allows a WebExtension with the limited downloads.open permission to execute arbitrary code without user interaction on Windows 10 systems. *Note: this issue only affects Windows operating systems. Other operating systems are unaffected.*. This vulnerability affects Thunderbird < 60, Thunderbird < 52.9, Firefox ESR < 60.1, Firefox ESR < 52.9, and Firefox < 61.

debian логотип

CVE-2018-12368

CVSS3: 8.1
debian
больше 7 лет назад

Windows 10 does not warn users before opening executable files with th ...

github логотип

GHSA-ghmm-93ww-fvhh

CVSS3: 8.1
github
больше 3 лет назад

Windows 10 does not warn users before opening executable files with the SettingContent-ms extension even when they have been downloaded from the internet and have the "Mark of the Web." Without the warning, unsuspecting users unfamiliar with this new file type might run an unwanted executable. This also allows a WebExtension with the limited downloads.open permission to execute arbitrary code without user interaction on Windows 10 systems. *Note: this issue only affects Windows operating systems. Other operating systems are unaffected.*. This vulnerability affects Thunderbird < 60, Thunderbird < 52.9, Firefox ESR < 60.1, Firefox ESR < 52.9, and Firefox < 61.

EPSS

Процентиль: 83%
0.01952
Низкий

8.1 High

CVSS3

9.3 Critical

CVSS2