CVE-2020-6820
Mozilla Firefox and Thunderbird
2021-11-03
Mozilla Firefox and Thunderbird contain a race condition vulnerability when handling a ReadableStream under certain conditions. The race condition creates a use-after-free vulnerability, causing unspecified impacts.
Технический анализ и план устранения
Суть уязвимости
Уязвимость (race condition) возникает при обработке ReadableStream в движке JavaScript. В результате гонки данных может произойти освобождение участка памяти, который затем будет повторно использован (use-after-free). Это позволяет злочному веб-сайту или письму (в Thunderbird) выполнить произвольный код на компьютере пользователя.
Как исправить
Установите исправленную версию ПО. Уязвимость устранена в следующих релизах: * Firefox: версия 75.0 и выше. * Firefox ESR: версия 68.7.0 и выше. * Thunderbird: версия 68.7.0 и выше.
Для Linux (Debian/Ubuntu):
sudo apt update
sudo apt install --only-upgrade firefox thunderbird
Для Windows: * Обновите приложение через встроенный механизм (Меню → Справка → О Firefox/Thunderbird). * Или скачайте установщик с официального сайта Mozilla. * Патч Windows Update: KB4550945 (содержит обновленный Firefox).
Для macOS: Обновите приложение через App Store или скачайте с сайта Mozilla.
Временное решение
Если немедленное обновление невозможно:
1. Ограничьте доступ: В корпоративном периметре используйте WAF или прокси для блокировки доступа к известным вредоносным доменам, которые могут эксплуатировать эту уязвимость.
2. Отключите JavaScript (крайняя мера): В Firefox:
* Введите about:config в адресной строке.
* Найдите параметр javascript.enabled.
* Установите значение в false.
* Внимание: это сломает функциональность большинства сайтов.
3. Используйте политики ограничения: Для Thunderbird отключите отображение HTML-писем или отображение удаленного контента в настройках.