Уязвимость почтового клиента Thunderbird, браузеров Firefox и Firefox ESR связана с ошибками при обработке заголовка изолированной программной среды CSP без параметра «разрешить сценарии». Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти реализованное ограничение CSP и выполнить произвольный сценарий с помощью специально сформированной ссылки
BDU:2022-04153
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств антивирусной защиты с функцией контроля доступа к веб-ресурсам;
- контролируемый доступ в сеть Интернет – регламентация разрешенных сетевых ресурсов и соединений;
- запуск приложений от имени пользователя с минимальными возможными привилегиями в операционной системе;
- использование альтернативных веб-браузеров;
- применение систем обнаружения и предотвращения вторжений.
Использование рекомендаций:
Для программных продуктов Mozilla Corp.:
https://www.mozilla.org/en-US/security/advisories/mfsa2022-24/
https://www.mozilla.org/en-US/security/advisories/mfsa2022-25/
https://www.mozilla.org/en-US/security/advisories/mfsa2022-26/
Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-firefox-cve-2022-34479-cve-2022-34470-cve-2022-34468-cve-2022-34481-cve-2/
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-thunderbird-cve-2022-34479-cve-2022-34470-cve-2022-34468-cve-2022-34481-c/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-34468
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-34468
BDU:2022-04153
CVE-2022-34468
Установка обновлений из доверенных источников.В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств антивирусной защиты с функцией контроля доступа к веб-ресурсам;
- контролируемый доступ в сеть Интернет – регламентация разрешенных сетевых ресурсов и соединений;
- запуск приложений от имени пользователя с минимальными возможными привилегиями в операционной системе;
- использование альтернативных веб-браузеров;
- применение систем обнаружения и предотвращения вторжений.
Использование рекомендаций:
Для программных продуктов Mozilla Corp.:
https://www.mozilla.org/en-US/security/advisories/mfsa2022-24/
https://www.mozilla.org/en-US/security/advisories/mfsa2022-25/
https://www.mozilla.org/en-US/security/advisories/mfsa2022-26/
Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-firefox-cve-2022-34479-cve-2022-34470-cve-2022-34468-cve-2022-34481-cve-2/
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-thunderbird-cve-2022-34479-cve-2022-34470-cve-2022-34468-cve-2022-34481-c/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-34468
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-34468