Описание
Уязвимость браузера Mozilla Firefox и почтового клиента Mozilla Thunderbird
Наименование уязвимого пакета
Пакет обновления
Версия уязвимого пакета младше
Возможные меры по устранению уязвимости
Запретить использование в ОС пакета Mozilla Firefox/Thunderbird или Установить обновление для пакета(ов) Mozilla Firefox/Thunderbird
Версия ОС
Архитектура ОС
Дата публикации бюллетеня
10.02.2022
CVE-2022-22754
Идентификатор БДУ ФСТЭК России:
BDU:2022-00807Описание уязвимости:
Уязвимость почтового клиента Mozilla Thunderbird и браузера Firefox, связана с неверной обработкой обновления расширений. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обманом заставить жертву установить расширение браузера определенного типа и во время автоматического обновления обойти приглашение, которое предоставляет новой версии новые запрошенные разрешения
8.8 High
CVSS3
10 Critical
CVSS2
CVE-2022-22756
Идентификатор БДУ ФСТЭК России:
BDU:2022-00808Описание уязвимости:
Уязвимость почтового клиента Mozilla Thunderbird и браузера Firefox, связана с тем, что браузер не может правильно идентифицировать вредоносный файл во время операций перетаскивания. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обманом заставить жертву перетащить изображение на рабочий стол или в другую папку и преобразовать полученный объект в исполняемый скрипт, который будет выполнен после того, как пользователь щелкнет по нему
7.5 High
CVSS3
7.6 High
CVSS2
CVE-2022-22759
Идентификатор БДУ ФСТЭК России:
BDU:2022-00809Описание уязвимости:
Уязвимость почтового клиента Mozilla Thunderbird и браузера Firefox, связана с тем, как браузер обрабатывает iframe. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, создаnm изолированный iframe без allow-scripts, а затем добавить к документу iframe элемент, который, например, имел обработчик событий JavaScript, обработчик событий запустился бы, несмотря на изолированную программную среду iframe
5.4 Medium
CVSS3
6.4 Medium
CVSS2
CVE-2022-22760
Идентификатор БДУ ФСТЭК России:
BDU:2022-00804Описание уязвимости:
Уязвимость почтового клиента Mozilla Thunderbird и браузера Firefox, связана с тем, как браузер отображает сообщения об ошибках в ответах из разных источников при импорте ресурсов с помощью Web Workers. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, отличить ответы от application/javascriptответов, не являющихся сценариями, и узнать информацию из других источников
6.5 Medium
CVSS3
7.8 High
CVSS2
CVE-2022-22761
Идентификатор БДУ ФСТЭК России:
BDU:2022-00803Описание уязвимости:
Уязвимость почтового клиента Mozilla Thunderbird и браузера Firefox, связана с тем, что директива Content Security Policy для фреймов-предков не применялась для фреймовых страниц расширения. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнять несанкционированные действия
5.4 Medium
CVSS3
6.4 Medium
CVSS2
CVE-2022-22764
Идентификатор БДУ ФСТЭК России:
BDU:2022-00802Описание уязвимости:
Уязвимость почтового клиента Mozilla Thunderbird и браузера Firefox, связана с ошибкой границ при обработке содержимого HTML. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, создать специально созданный веб-сайт, обманом заставить жертву открыть его, вызвать повреждение памяти и выполнить произвольный код в целевой системе
8.8 High
CVSS3
10 Critical
CVSS2