Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-02675

Опубликовано: 11 апр. 2023
Источник: fstec
CVSS3: 5.3
CVSS2: 4.3
EPSS Низкий

Описание

Уязвимость службы Mozilla Maintenance браузеров Mozilla Firefox, Focus for Android, Mozilla Firefox ESR и почтового клиента Thunderbird связана с недостатками разграничения доступа при проверке подписи файлов обновления. Эксплуатация уязвимости может позволить нарушителю получить доступ на чтение, изменение или удаление данных

Вендор

ООО «Ред Софт»
ФССП России
АО «ИВК»
Mozilla Corp.
АО "НППКТ"

Наименование ПО

РЕД ОС
ОС ТД АИС ФССП России
Альт 8 СП
Thunderbird
Firefox ESR
Firefox
Focus
ОСОН ОСнова Оnyx

Версия ПО

7.3 (РЕД ОС)
ИК6 (ОС ТД АИС ФССП России)
- (Альт 8 СП)
до 102.10 (Thunderbird)
до 102.10 (Firefox ESR)
до 112 (Firefox)
до 112 (Focus)
до 2.8 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем
Сетевое средство

Операционные системы и аппаратные платформы

Google Inc. Android -
Microsoft Corp. Windows -
ООО «Ред Софт» РЕД ОС 7.3
ФССП России ОС ТД АИС ФССП России ИК6
АО «ИВК» Альт 8 СП -
АО "НППКТ" ОСОН ОСнова Оnyx до 2.8

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для продуктов Mozilla Corp.:
https://www.mozilla.org/en-US/security/advisories/mfsa2023-13/
https://www.mozilla.org/en-US/security/advisories/mfsa2023-14/
https://www.mozilla.org/en-US/security/advisories/mfsa2023-15/
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения thunderbird до версии 1:102.13.1+repack-1~deb10u1.osnova1

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 23%
0.00075
Низкий

5.3 Medium

CVSS3

4.3 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2023-29532

CVSS3: 5.5
ubuntu
около 2 лет назад

A local attacker can trick the Mozilla Maintenance Service into applying an unsigned update file by pointing the service at an update file on a malicious SMB server. The update file can be replaced after the signature check, before the use, because the write-lock requested by the service does not work on a SMB server. *Note: This attack requires local system access and only affects Windows. Other operating systems are not affected.* This vulnerability affects Firefox < 112, Firefox ESR < 102.10, and Thunderbird < 102.10.

redhat логотип

CVE-2023-29532

CVSS3: 7.5
redhat
около 2 лет назад

A local attacker can trick the Mozilla Maintenance Service into applying an unsigned update file by pointing the service at an update file on a malicious SMB server. The update file can be replaced after the signature check, before the use, because the write-lock requested by the service does not work on a SMB server. *Note: This attack requires local system access and only affects Windows. Other operating systems are not affected.* This vulnerability affects Firefox < 112, Firefox ESR < 102.10, and Thunderbird < 102.10.

nvd логотип

CVE-2023-29532

CVSS3: 5.5
nvd
около 2 лет назад

A local attacker can trick the Mozilla Maintenance Service into applying an unsigned update file by pointing the service at an update file on a malicious SMB server. The update file can be replaced after the signature check, before the use, because the write-lock requested by the service does not work on a SMB server. *Note: This attack requires local system access and only affects Windows. Other operating systems are not affected.* This vulnerability affects Firefox < 112, Firefox ESR < 102.10, and Thunderbird < 102.10.

debian логотип

CVE-2023-29532

CVSS3: 5.5
debian
около 2 лет назад

A local attacker can trick the Mozilla Maintenance Service into applyi ...

github логотип

GHSA-f2q9-pfpx-m83g

CVSS3: 5.5
github
около 2 лет назад

A local attacker can trick the Mozilla Maintenance Service into applying an unsigned update file by pointing the service at an update file on a malicious SMB server. The update file can be replaced after the signature check, before the use, because the write-lock requested by the service does not work on a SMB server. *Note: This attack requires local system access and only affects Windows. Other operating systems are not affected.* This vulnerability affects Firefox < 112, Firefox ESR < 102.10, and Thunderbird < 102.10.

EPSS

Процентиль: 23%
0.00075
Низкий

5.3 Medium

CVSS3

4.3 Medium

CVSS2

Уязвимость BDU:2023-02675