Mozilla исправила 14 уязвимостей в браузере Firefox

29.04.2016

7 уязвимостей позволяют удаленно выполнить код.

Во вторник, 26 апреля, Mozilla выпустила обновления безопасности для своего браузера, используемого в ОС Windows, Mac, Linux и Android. В версии Firefox 46 исправлено 14 уязвимостей.

Уязвимости CVE-2016-2804, CVE-2016-2805, CVE-2016-2806, CVE-2016-2807 и CVE-2016-2808 позволяют удаленно выполнить код и получить контроль над системой. Злоумышленник может проэксплуатировать первые четыре уязвимости, вызвав повреждение памяти с помощью специально сконфигурированного HTML-файла. Выполнение произвольного кода также возможно с помощью уязвимостей в BeginReading() (CVE-2016-2811) и в ServiceWorkerManager (CVE-2016-2812).  

Уязвимость CVE-2016-2809 в Mozilla Maintenance Service позволяет удалять произвольные файлы и повышать привилегии на ОС Windows. CVE-2016-2810 позволяет приложению читать данные, в том числе историю просмотров в браузере и сохраненные пароли. Проблема затрагивает устройства под управлением Android до версии 5.0.

Эксплуатируя уязвимость CVE-2016-2813, злоумышленник может перехватывать данные датчиков движения Android-устройства и с их помощью фиксировать нажатия на экран, что может привести к похищению PIN-кодов.  

Уязвимость CVE-2016-2814 позволяет вызвать переполнение буфера, а используя CVE-2016-2816, можно обойти политику защиты контента (CSP). С помощью CVE-2016-2817 злоумышленник может осуществить межсайтовый скриптинг и повысить свои привилегии. Уязвимость CVE-2016-2820 возникает из-за того, что Firefox Health Report принимает определенные события от недоверенных доменов.

Источник: securitylab.ru