CVE-2020-6819

Mozilla Firefox and Thunderbird

ВЕРОЯТНОСТЬ 0.4%
Дата обнаружения

2021-11-03

Официальное описание

Mozilla Firefox and Thunderbird contain a race condition vulnerability when running the nsDocShell destructor under certain conditions. The race condition creates a use-after-free vulnerability, causing unspecified impacts.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость типа race condition (состояние гонки) в компоненте nsDocShell браузера Firefox и почтового клиента Thunderbird. При определенных условиях во время уничтожения объекта возникает ошибка use-after-free (использование после освобождения памяти).

  • Как могут использовать: Злоумышленник может создать специальную веб-страницу или письмо, которое, будучи открытым в уязвимой версии, спровоцирует сбой в работе приложения. Это может привести к аварийному завершению программы (DoS) или, что критичнее, к выполнению произвольного вредоносного кода на компьютере пользователя.

Как исправить

Установите исправленную версию ПО. Уязвимость устранена в следующих релизах:

  • Mozilla Firefox: версия 74.0 и выше.
  • Mozilla Firefox ESR (Extended Support Release): версия 68.6.0 и выше.
  • Mozilla Thunderbird: версия 68.6.0 и выше.

Конкретные команды для обновления:

  • Ubuntu/Debian: bash sudo apt update && sudo apt upgrade firefox thunderbird
  • RHEL/CentOS/Fedora: bash sudo dnf update firefox thunderbird
  • Windows (через встроенное обновление): Приложение должно предложить обновление автоматически. Для ручной проверки: Меню → Справка → О Firefox/Thunderbird.
  • Windows (через системные пакеты): Установите обновления системы, которые включают исправленные версии (например, через Центр обновления Windows). Конкретный номер KB зависит от дистрибутива ПО (например, от Mozilla или через Chocolatey).

Временное решение

Если немедленное обновление невозможно, примите следующие меры для снижения риска:

  1. Ограничение доступа к контенту:

    • Настройте веб-прокси или брандмауэр на блокировку доступа к недоверенным или подозрительным веб-ресурсам.
    • Используйте расширения безопасности для браузера (например, NoScript для Firefox), которые позволяют блокировать выполнение активного контента (JavaScript) на непроверенных сайтах.

  2. Снижение привилегий:

    • Запускайте браузер и почтовый клиент от имени пользователя с ограниченными правами (не от имени администратора/root). Это ограничит потенциальный ущерб от эксплуатации уязвимости.

  3. Особенность для Thunderbird:

    • Отключите отображение HTML-контента в письмах по умолчанию. Перейдите в Настройки → Основные → Настройки форматирования и выберите «Отображать все сообщения как простой текст». Это предотвратит автоматическое выполнение вредоносного кода при открытии письма.

Важно: Эти меры носят временный характер и не заменяют установку официального патча.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей