BDU:2022-04154
АО "НППКТ", Mozilla Corp., ООО «Ред Софт», Red Hat Inc., АО «ИВК», АО «Концерн ВНИИНС», Сообщество с Red Hat Enterprise Linux, Firefox, Альт 8 СП, Thunderbird, ОС ОН «Стрелец», Debian GNU/Linux, ОСОН О
2022-06-28
Уязвимость почтового клиента Thunderbird, браузеров Firefox и Firefox ESR связана с неправильной обработкой события изменения размера всплывающего окна. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, проводить спуфинг атаки с помощью специально сформированной веб-страницы
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры: - использование средств антивирусной защиты с функцией контроля доступа к веб-ресурсам; - контролируемый доступ в сеть Интернет – регламентация разрешенных сетевых ресурсов и соединений; - запуск приложений от имени пользователя с минимальными возможными привилегиями в операционной системе; - использование альтернативных веб-браузеров; - применение систем обнаружения и предотвращения вторжений.
Использование рекомендаций: Для программных продуктов Mozilla Corp.: https://www.mozilla.org/en-US/security/advisories/mfsa2022-24/ https://www.mozilla.org/en-US/security/advisories/mfsa2022-25/ https://www.mozilla.org/en-US/security/advisories/mfsa2022-26/
Для РЕД ОС: https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-firefox-cve-2022-34479-cve-2022-34470-cve-2022-34468-cve-2022-34481-cve-2/ https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-thunderbird-cve-2022-34479-cve-2022-34470-cve-2022-34468-cve-2022-34481-c/
Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2022-34479
Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2022-34479
Для ОС ТД АИС ФССП России: https://goslinux.fssp.gov.ru/2726972/
Для ОСОН Основа: Обновление программного обеспечения firefox-esr до версии 91.11.0esr+repack-1~deb10u1.osnova1
Для ОСОН Основа: Обновление программного обеспечения thunderbird до версии 1:91.11.0+repack-1~deb10u1.osnova1
Для ОСОН ОСнова Оnyx: Обновление программного обеспечения thunderbird до версии 1:102.4.0+repack-1~deb10u1.osnova1
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для ОС ОН «Стрелец»: Обновление программного обеспечения firefox-esr до версии 91.13.0esr+repack-1~deb10u1.osnova1.strelets Обновление программного обеспечения thunderbird до версии 1:91.13.0+repack-1~deb10u1.osnova1.strelets