Мир: Mozilla исправила 14 уязвимостей в браузере Firefox

0

Во вторник, 26 апреля, Mozilla выпустила обновления безопасности для своего браузера, используемого в ОС Windows, Mac, Linux и Android. В версии Firefox 46 исправлено 14 уязвимостей. Уязвимости CVE-2016-2804, CVE-2160-2805, CVE-2160-2806, CVE-2160-2807 и CVE-2160-2808 позволяют удаленно выполнить код и получить контроль над системой. Злоумышленник может проэксплуатировать первые четыре уязвимости, вызвав повреждение памяти с помощью специально сконфигурированного HTML-файла. Выполнение произвольного кода также возможно с помощью уязвимостей в BeginReading() (CVE-2160-2811) и в ServiceWorkerManager (CVE-2160-2812).

Уязвимость CVE-2160-2809 в Mozilla Maintenance Service позволяет удалять произвольные файлы и повышать привилегии на ОС Windows. CVE-2160-2810 позволяет приложению читать данные, в том числе историю просмотров в браузере и сохраненные пароли. Проблема затрагивает устройства под управлением Android до версии 5.0.

Эксплуатируя уязвимость CVE-2160-2813, злоумышленник может перехватывать данные датчиков движения Android-устройства и с их помощью фиксировать нажатия на экран, что может привести к похищению PIN-кодов.

Уязвимость CVE-2016-2814 позволяет вызвать переполнение буфера, а используя CVE-2016-2816, можно обойти политику защиты контента (CSP). С помощью CVE-2016-2817 злоумышленник может осуществить межсайтовый скриптинг и повысить свои привилегии. Уязвимость CVE-2160-2820 возникает из-за того, что Firefox Health Report принимает определенные события от недоверенных доменов. (Mozilla/NovostIT)