Разработчик популярного браузера Mozilla Firefox выпустил новую версию, в которой было устранено 14 уязвимостей различной степени опасности. 3 уязвимости, помеченные как критические (CVE-2016-2818, CVE-2016-2815 и CVE-2016-2819) устраняют ошибки, связанные с повреждением памяти. Удаленный пользователь может с помощью специально сформированной страницы выполнить произвольный код на уязвимой системе.
5 уязвимостей высокой степени опасности позволяют злоумышленнику вызвать ошибку использования после освобождения при обработке DOM-объектов, вызвать переполнение буфера и ошибку использования после освобождения при обработке WebGL-данных, повысить свои привилегии на Windows-системе через приложение для обновления браузера, а также осуществить спуфинг- и clickjacking-атаки.
4 уязвимости средней опасности могут позволить злоумышленнику подменить адресную строку браузера, просмотреть список заблокированных плагинов с помощью псевдо-классов CSS и обойти CSP-политику с помощью Java-апплета. Также устранены уязвимости, связанные с некорректной реализацией Network Security Services (NSS).
Две уязвимости низкой степени опасности связанны с частичным обходим политики единства происхождения через data: URI и отображением некорректных иконок, демонстрирующих привилегии доступа. (Mozilla/NovostIT)