ГлавнаяБаза уязвимостей БДУ → BDU:2023-04444
7.6высокая

BDU:2023-04444 (CVE-2023-4047)

Уязвимость браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, связанная с некорректной обработкой недостаточных разрешений, позволяющая нарушителю проводить clickjacking-атаки
Опубликовано: 2023-08-07
Описание

Уязвимость браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird связана с некорректной обработкой недостаточных разрешений в результате ошибки в расчете задержки всплывающих уведомлений. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, проводить clickjacking-атаки

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Astra Linux Special Edition (1.6 «Смоленск»)Red Hat Enterprise Linux (8)Ubuntu (20.04 LTS)Red Hat Enterprise Linux (8.1 Update Services for SAP Solutions)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Red Hat Enterprise Linux (9)Astra Linux Special Edition (4.7)Red Hat Enterprise Linux (8.2 Telecommunications Update Service)Red Hat Enterprise Linux (8.2 Update Services for SAP Solutions)Red Hat Enterprise Linux (8.6 Extended Update Support)Red Hat Enterprise Linux (9.0 Extended Update Support)Red Hat Enterprise Linux (8.2 Advanced Update Support)Red Hat Enterprise Linux (8.4 Telecommunications Update Service)Red Hat Enterprise Linux (8.4 Update Services for SAP Solutions)Red Hat Enterprise Linux (8.4 Advanced Mission Critical Update Support)Firefox (до 116)Firefox ESR (до 102.14)Thunderbird (до 102.14)Firefox ESR (от 115 до 115.1)Thunderbird (от 115 до 115.1)АЛЬТ СП 10ОСОН ОСнова Оnyx (до 2.9)
Способ устранения

Использование рекомендаций:
Для программных продуктов Mozilla Corp.:
https://www.mozilla.org/en-US/security/advisories/mfsa2023-29/
https://www.mozilla.org/en-US/security/advisories/mfsa2023-30/
https://www.mozilla.org/en-US/security/advisories/mfsa2023-31/
https://www.mozilla.org/en-US/security/advisories/mfsa2023-32/
https://www.mozilla.org/en-US/security/advisories/mfsa2023-33/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2023-4047

Для Ubuntu:
https://ubuntu.com/security/notices/USN-6267-1

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Astra Linux Special Edition 1.7:
- обновить пакет firefox до 118.0.1+build1-0ubuntu0.20.04.1~mt1+ci202309291803+astra13 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17
- обновить пакет thunderbird до 1:115.3.1+build1-0ubuntu1+ci202310041156+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17

Для Astra Linux 1.6 «Смоленск»:
- обновить пакет thunderbird до 1:115.5.0+build1-0ubuntu1+ci202311280951+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16
- обновить пакет firefox до 120.0+build2-0ubuntu0.20.04.1+ci202311281348+astra13 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения thunderbird до версии 1:115.5.0+repack-1~deb10u1.osnova1
Обновление программного обеспечения firefox-esr до версии 115.5.0esr+repack-1~deb10u1.osnova1

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для Astra Linux Special Edition 4.7:
- обновить пакет firefox до 118.0.1+build1-0ubuntu0.20.04.1~mt1+ci202309291803+astra13 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47
- обновить пакет thunderbird до 1:115.3.1+build1-0ubuntu1+ci202310041156+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47

Оценка CVSS
Балл7.6 — высокая опасность
Источники и патчи
https://www.mozilla.org/en-US/security/advisories/mfsa2023-29/https://www.mozilla.org/en-US/security/advisories/mfsa2023-30/https://www.mozilla.org/en-US/security/advisories/mfsa2023-31/https://www.mozilla.org/en-US/security/advisories/mfsa2023-32/https://www.mozilla.org/en-US/security/advisories/mfsa2023-33/https://ubuntu.com/security/notices/USN-6267-1https://access.redhat.com/security/cve/CVE-2023-4047https://vuldb.com/ru/?id.235856
Проверьте безопасность своего сайта и почты → Полная проверка домена