CVE-2013-1690
Mozilla Firefox and Thunderbird
2022-03-28
Mozilla Firefox and Thunderbird do not properly handle onreadystatechange events in conjunction with page reloading, which allows remote attackers to cause a denial-of-service (DoS) or possibly execute malicious code via a crafted web site.
Технический анализ и план устранения
Суть уязвимости
Уязвимость (Use-after-free) в обработчиках событий onreadystatechange при перезагрузке страницы. Злоумышленник может создать специальную веб-страницу, которая при посещении вызывает сбой (DoS) или потенциальное выполнение произвольного кода в контексте браузера/почтового клиента.
Как исправить
Обновите Mozilla Firefox и/или Thunderbird до версий, в которых уязвимость устранена.
-
Для Linux (Debian/Ubuntu и производные):
bash sudo apt update sudo apt install --only-upgrade firefox thunderbird- Безопасные версии: Firefox 17.0.10 ESR, Firefox 23.0, Thunderbird 17.0.10, Thunderbird 23.0 и новее.
-
Для Windows / macOS: Включите автоматическое обновление в настройках приложения или скачайте последнюю версию вручную с официального сайта Mozilla.
- Проверьте версию: В меню
Справка→О Firefox(илиО Thunderbird). Система должна предложить обновление или показать, что версия актуальна.
- Проверьте версию: В меню
Временное решение
Если немедленное обновление невозможно:
1. Отключите JavaScript: В адресной строке Firefox введите about:config, подтвердите риск, найдите javascript.enabled и установите значение в false. Внимание: Это сломает функциональность большинства сайтов.
2. Используйте NoScript: Установите дополнение NoScript и настройте его на запрет выполнения скриптов по умолчанию для непроверенных сайтов.
3. Ограничение доступа (корпоративная среда): Настройте WAF или прокси-сервер на блокировку HTTP-запросов, содержащих явно вредоносные паттерны, связанные с эксплуатацией событий onreadystatechange при перезагрузке.