Firefox Os
Уязвимости
20
Эксплуатируемые
1
Макс. CVSS
8.8
Макс. EPSS
0.9986
Распределение по критичности
Критический
0
Высокий
1
Средний
14
Низкий
5
Затронутые диапазоны версий
< 2.2≤ 2.1.0≤ 2.2
Также сопоставлено как (исходные строки): firefox,firefox_esr,seamonkey,thunderbird,firefox os,firefox_os
Топ уязвимостей
CVE-2015-4495Читатель PDF в Mozilla Firefox до 39.0.3, Firefox ESR 38.x до 38.1.1 и Firefox OS до 2.2 позволяет удаленным злоумышленникам обходить политику одного источника и читать произвольные файлы или получать привилегии через векторы, связанные с подготовленным кодом JavaScript и нативным установщиком, как это использовалось в дикой природе в августе 2015 года.
CVE-2015-8511Состояние гонки в функции блокировки экрана в Mozilla Firefox OS версий до 2.5 позволяет злоумышленникам, находящимся в непосредственной близости, обойти предполагаемое требование пароля через неуказанные векторы.
CVE-2015-8510Уязвимость межсайтового скриптинга (XSS) в функции интернационализации в приложении домашнего экрана по умолчанию в Mozilla Firefox OS до версии 2.5 позволяет удаленным злоумышленникам, действующим с помощью пользователя, внедрять произвольный веб-скрипт или HTML через специально созданный веб-сайт, который неправильно обрабатывается во время добавления в закладки «Добавить на главный экран».
CVE-2015-4489Класс nsTArray_Impl в Mozilla Firefox версий до 40.0, Firefox ESR 38.x версий до 38.2 и Firefox OS версий до 2.2 может позволить удаленным злоумышленникам вызвать отказ в обслуживании (повреждение памяти) или, возможно, оказать другое неуказанное воздействие, используя самоприсваивание.
CVE-2015-4488Уязвимость use-after-free в классе StyleAnimationValue в Mozilla Firefox версий до 40.0, Firefox ESR 38.x версий до 38.2 и Firefox OS версий до 2.2 позволяет удаленным злоумышленникам оказывать неуказанное воздействие, используя присваивание StyleAnimationValue::operator self.
CVE-2015-4487Функция nsTSubstring::ReplacePrep в Mozilla Firefox версий до 40.0, Firefox ESR 38.x версий до 38.2 и Firefox OS версий до 2.2 может позволить удаленным злоумышленникам вызвать отказ в обслуживании (повреждение памяти) или, возможно, оказать другое неуказанное воздействие через неизвестные векторы, связанные с «переполнением».
CVE-2015-5962Ошибка знака целого числа в функции SharedBufferManagerParent::RecvAllocateGrallocBuffer в реализации управления буферами в графическом слое в Mozilla Firefox OS до версии 2.2 может позволить злоумышленникам вызывать отказ в обслуживании (повреждение памяти) через отрицательное значение параметра размера.
BDU:2015-11271Уязвимость функции SharedBufferManagerParent::RecvAllocateGrallocBuffer операционной системы Firefox OS связана с переполнением буфера, вызванным целочисленным переполнением. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании путем задания отрицательного значения параметра размера буфера
CVE-2015-8512Функция блокировки экрана в Mozilla Firefox OS до версии 2.5 неправильно ограничивает неудачные попытки аутентификации, что облегчает физически приближенным злоумышленникам получение доступа путем ввода множества вариантов пароля.
CVE-2015-4494Mozilla Firefox OS версий до 2.2 не требует привилегии wifi-manage для чтения системного сообщения Wi-Fi, что позволяет злоумышленникам получать потенциально конфиденциальную информацию через специально созданное приложение.
CVE-2015-2745Множественные уязвимости межсайтового скриптинга (XSS) в приложении Search в Gaia в Mozilla Firefox OS до версии 2.2 позволяют удаленным злоумышленникам внедрять произвольный HTML через поле (1) имени или (2) заголовка в содержимом карточки, связанной со ссылкой поиска, которая неправильно обрабатывается после нажатия кнопки HOME или действия Show Windows, как продемонстрировано внедрением произвольного приложения или подделкой страницы создания учетной записи.
CVE-2015-2744Уязвимость межсайтового скриптинга (XSS) в приложении Search в Gaia в Mozilla Firefox OS до версии 2.2 позволяет удаленным злоумышленникам внедрять произвольный HTML через специально созданную ссылку поиска, которая неправильно обрабатывается после повторного открытия браузера или открытия представления вкладок.
BDU:2015-11247Уязвимость операционной системы Firefox OS связана с отсутствием защиты служебных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить доступ к защищаемой информации, содержащейся в системных сообщениях, с помощью специально сформированного приложения
BDU:2015-11194Уязвимость компонента Gaia Search app операционной системы Firefox OS существует из-за непринятия мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, внедрить произвольный HTML-код путем манипулирования названием и полем заголовка поисковой страницы, срабатывающей после нажатия на кнопку Home
BDU:2015-11193Уязвимость компонента Gaia Search app операционной системы Firefox OS существует из-за непринятия мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, внедрить произвольный HTML-код с помощью специального поискового запроса, выполняющегося после перезапуска браузера или открытия новой вкладки
CVE-2015-4000Протокол TLS 1.2 и более ранние версии, когда на сервере включен набор шифров DHE_EXPORT, но не включен на клиенте, неправильно передает выбор DHE_EXPORT, что позволяет злоумышленникам, находящимся посередине, проводить атаки с понижением шифра путем перезаписи ClientHello с заменой DHE на DHE_EXPORT, а затем перезаписи ServerHello с заменой DHE_EXPORT на DHE, также известное как проблема "Logjam".
CVE-2015-5961Страница ошибки COPPA в диалоговом окне настройки учетных записей в Mozilla Firefox OS до версии 2.2 встраивает содержимое с внешнего URL-адреса веб-сервера в системный процесс, что позволяет злоумышленникам, находящимся посередине, обходить предполагаемые ограничения доступа, подменяя этот сервер.
BDU:2015-11270Уязвимость операционной системы Firefox OS связана с недостатками разграничения доступа к некоторым функциям. Эксплуатация уязвимости может позволить нарушителю обойти существующие ограничения доступа путем проведения атаки типа "человек посередине"
CVE-2015-5960Mozilla Firefox OS до версии 2.2 позволяет злоумышленникам, находящимся в непосредственной близости, обходить механизм защиты паролем и получать доступ к томам USB Mass Storage (UMS), используя USB-интерфейс для операции монтирования.
BDU:2015-11269Уязвимость операционной системы Firefox OS связана с недостатками контроля доступа. Эксплуатация уязвимости может позволить нарушителю, действующему локально, обойти механизм ввода пароля и получить доступ к запоминающим устройствам путем использования интерфейса монтирования устройств