Уязвимость использования небезопасного расположения для файлов статуса и журналов в сервисе обновления Mozilla Firefox, Thunderbird и Firefox ESR
Описание
При работе сервис обновления записывает файлы статуса и журналы в небезопасное расположение. Это позволяет злоумышленнику без привилегий обнаружить и использовать уязвимость в обработке файлов в сервисе обновления. Для этой атаки требуется доступ к локальной системе и она затрагивает только Windows. Другие операционные системы не затрагиваются.
Затронутые версии ПО
- Thunderbird версии ниже 68.3
- Firefox ESR версии ниже 68.3
- Firefox версии ниже 71
Тип уязвимости
Эксплуатация уязвимости в обработке файлов
Ссылки
- Mailing ListThird Party Advisory
- Mailing ListThird Party Advisory
- Permissions Required
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Mailing ListThird Party Advisory
- Mailing ListThird Party Advisory
- Permissions Required
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
Уязвимые конфигурации
Одновременно
Одно из
EPSS
7.8 High
CVSS3
4.6 Medium
CVSS2
Дефекты
Связанные уязвимости
When running, the updater service wrote status and log files to an unrestricted location; potentially allowing an unprivileged process to locate and exploit a vulnerability in file handling in the updater service. *Note: This attack requires local system access and only affects Windows. Other operating systems are not affected.*. This vulnerability affects Thunderbird < 68.3, Firefox ESR < 68.3, and Firefox < 71.
When running, the updater service wrote status and log files to an unrestricted location; potentially allowing an unprivileged process to locate and exploit a vulnerability in file handling in the updater service. *Note: This attack requires local system access and only affects Windows. Other operating systems are not affected.*. This vulnerability affects Thunderbird < 68.3, Firefox ESR < 68.3, and Firefox < 71.
When running, the updater service wrote status and log files to an unr ...
When running, the updater service wrote status and log files to an unrestricted location; potentially allowing an unprivileged process to locate and exploit a vulnerability in file handling in the updater service. *Note: This attack requires local system access and only affects Windows. Other operating systems are not affected.*. This vulnerability affects Thunderbird < 68.3, Firefox ESR < 68.3, and Firefox < 71.
Уязвимость службы обновления браузеров Mozilla Firefox, Mozilla Firefox ESR и почтового клиента Thunderbird для Windows, позволяющая нарушителю записать файлы состояний и журнала в незащищенный каталог
EPSS
7.8 High
CVSS3
4.6 Medium
CVSS2