Разработчиком второго по популярности браузера Mozilla Firefox была представлена новая версия с устраненными в ней уязвимостями различной степени опасности.
Были отмечены как критические 3 уязвимости – CVE-2016-2818, CVE-2016-2815 и CVE-2016-2819. С помощью специально сформированной страницы удаленный пользователь может выполнить произвольный код на уязвимой системе.
5 уязвимостей высокой степени опасности дают злоумышленнику несколько возможностей: вызвать ошибку использования после освобождения при обработке DOM-объектов, вызвать переполнение буфера и ошибку использования после освобождения при обработке WebGL-данных, повысить свои привилегии на Windows-системе через приложение для обновления браузера, а также осуществить спуфинг- и clickjacking-атаки.
4 уязвимости средней опасности позволяют злоумышленнику подменить адресную строку браузера, ознакомиться со списком заблокированных плагинов при помощи псевдо-классов CSS и обойти CSP-политику с помощью Java-апплета. Также устранены уязвимости, связанные с некорректной реализацией Network Security Services (NSS).
Две уязвимости низкой степени опасности связанны с частичным обходом политики единства происхождения через data: URI и отображением некорректных иконок, демонстрирующих привилегии доступа.
Всем, кто предпочитает пользоваться этим браузером, рекомендуется установить последнюю версию Firefox 47 с сайта производителя или через функционал автоматического обновления.
Источник http://www.securitylab.ru/
