Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-04326

Опубликовано: 01 авг. 2023
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость функции OffscreenCanvas браузеров Firefox, Firefox ESR связана с использованием недоверенного файла междоменной политики. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, выполнить произвольный код

Вендор

ООО «РусБИТех-Астра»
ООО «Ред Софт»
АО «НТЦ ИТ РОСА»
Mozilla Corp.
АО «ИВК»
АО "НППКТ"

Наименование ПО

Astra Linux Special Edition
РЕД ОС
РОСА Кобальт
Firefox
Firefox ESR
АЛЬТ СП 10
ОСОН ОСнова Оnyx

Версия ПО

1.6 «Смоленск» (Astra Linux Special Edition)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
7.9 (РОСА Кобальт)
до 116 (Firefox)
до 102.14 (Firefox ESR)
до 115.1 (Firefox ESR)
- (АЛЬТ СП 10)
до 2.9 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО «НТЦ ИТ РОСА» РОСА Кобальт 7.9
АО «ИВК» АЛЬТ СП 10 -
АО "НППКТ" ОСОН ОСнова Оnyx до 2.9

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств антивирусной защиты с функцией контроля доступа к веб-ресурсам;
- контролируемый доступ в сеть Интернет – регламентация разрешенных сетевых ресурсов и соединений;
- запуск приложений от имени пользователя с минимальными возможными привилегиями в операционной системе;
- использование альтернативных веб-браузеров;
- применение систем обнаружения и предотвращения вторжений.
Использование рекомендаций производителя:
Для программных продуктов Mozilla Corp.:
https://www.mozilla.org/security/advisories/mfsa2023-29/
https://www.mozilla.org/security/advisories/mfsa2023-30/
https://www.mozilla.org/security/advisories/mfsa2023-31/
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС РОСА "КОБАЛЬТ": https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2232
Для ОС РОСА "КОБАЛЬТ": https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2233
Для ОС Astra Linux Special Edition 1.7:
- обновить пакет firefox до 118.0.1+build1-0ubuntu0.20.04.1~mt1+ci202309291803+astra13 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17
- обновить пакет thunderbird до 1:115.3.1+build1-0ubuntu1+ci202310041156+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17
Для Astra Linux 1.6 «Смоленск»:
- обновить пакет thunderbird до 1:115.5.0+build1-0ubuntu1+ci202311280951+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16
- обновить пакет firefox до 120.0+build2-0ubuntu0.20.04.1+ci202311281348+astra13 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения thunderbird до версии 1:115.5.0+repack-1~deb10u1.osnova1
Обновление программного обеспечения firefox-esr до версии 115.5.0esr+repack-1~deb10u1.osnova1
Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства
Для Astra Linux Special Edition 4.7:
- обновить пакет firefox до 118.0.1+build1-0ubuntu0.20.04.1~mt1+ci202309291803+astra13 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47
- обновить пакет thunderbird до 1:115.3.1+build1-0ubuntu1+ci202310041156+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 50%
0.00273
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2023-4045

CVSS3: 5.3
ubuntu
почти 2 года назад

Offscreen Canvas did not properly track cross-origin tainting, which could have been used to access image data from another site in violation of same-origin policy. This vulnerability affects Firefox < 116, Firefox ESR < 102.14, and Firefox ESR < 115.1.

redhat логотип

CVE-2023-4045

CVSS3: 7.5
redhat
почти 2 года назад

Offscreen Canvas did not properly track cross-origin tainting, which could have been used to access image data from another site in violation of same-origin policy. This vulnerability affects Firefox < 116, Firefox ESR < 102.14, and Firefox ESR < 115.1.

nvd логотип

CVE-2023-4045

CVSS3: 5.3
nvd
почти 2 года назад

Offscreen Canvas did not properly track cross-origin tainting, which could have been used to access image data from another site in violation of same-origin policy. This vulnerability affects Firefox < 116, Firefox ESR < 102.14, and Firefox ESR < 115.1.

debian логотип

CVE-2023-4045

CVSS3: 5.3
debian
почти 2 года назад

Offscreen Canvas did not properly track cross-origin tainting, which c ...

redos логотип

ROS-20230908-07

CVSS3: 9.8
redos
почти 2 года назад

Множественные уязвимости firefox

EPSS

Процентиль: 50%
0.00273
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2