Yandex Browser
Уязвимости
23
Эксплуатируемые
0
Макс. CVSS
8.4
Макс. EPSS
0.01598
Распределение по критичности
Критический
0
Высокий
14
Средний
9
Низкий
0
Затронутые диапазоны версий
< 16.10.0.2357< 16.9.0< 17.1.1.227< 20.10.0< 20.8.4< 21.1.0< 21.3.0< 21.9.0.390< 22.3.3.684< 22.3.3.801< 22.5.0.862< 24.4.0.682< 24.7.1.380≤ 16.4.0.94.4≤ 16.6.1.30165≤ 17.4≤ 17.4.0.16
Также сопоставлено как (исходные строки): yandex.browser,yandex_browser
Топ уязвимостей
CVE-2024-6473Yandex Browser для настольных компьютеров до версии 24.7.1.380 имеет уязвимость DLL Hijacking, поскольку используется ненадежный путь поиска.
CVE-2021-25255Yandex Browser Lite для Android до версии 21.1.0 позволяет удаленным атакующим вызвать отказ в обслуживании [1].
Источники:
- [1] https://yandex.com/bugbounty/i/hall-of-fame-browser/
CVE-2021-25254Yandex Browser Lite для Android версий до 21.1.0 позволяет удаленным злоумышленникам подделывать адресную строку.
Источники:
- [1] https://yandex.com/bugbounty/i/hall-of-fame-browser/
CVE-2022-28226Уязвимость локального повышения привилегий в Yandex Browser для Windows до 22.3.3.801 позволяет локальному злоумышленнику с низкими привилегиями выполнять произвольный код с привилегиями SYSTEM путем манипулирования временными файлами в каталоге с небезопасными разрешениями во время процесса обновления Yandex Browser.
CVE-2022-28225Уязвимость локального повышения привилегий в Yandex Browser для Windows до 22.3.3.684 позволяет локальному злоумышленнику с низкими привилегиями выполнять произвольный код с привилегиями SYSTEM путем манипулирования символическими ссылками на установочный файл во время процесса обновления Yandex Browser.
CVE-2021-25263Уязвимость локальных привилегий в Яндекс.Браузере для Windows до версии 21.9.0.390 позволяет локальному злоумышленнику с низкими привилегиями выполнять произвольный код с привилегиями SYSTEM посредством манипулирования файлами в каталоге с небезопасными разрешениями во время процесса обновления Яндекс.Браузера.
CVE-2021-25261Уязвимость локальных привилегий в Яндекс.Браузере для Windows до версии 22.5.0.862 позволяет локальному злоумышленнику с низкими привилегиями выполнять произвольный код с привилегиями SYSTEM посредством манипулирования символическими ссылками на файл установки во время процесса обновления Яндекс.Браузера.
CVE-2017-7327Установщик Yandex Browser для Desktop до версии 17.4.1 имеет уязвимость DLL Hijacking, поскольку для dnsapi.dll, winmm.dll, ntmarta.dll, cryptbase.dll или profapi.dll используется ненадежный путь поиска.
CVE-2017-7326Проблема состояния гонки в Yandex Browser для Android до версии 17.4.0.16 позволяла удаленному злоумышленнику потенциально использовать повреждение памяти через специально созданную HTML-страницу.
CVE-2017-7325Yandex Browser до версии 16.9.0 позволяет удаленным злоумышленникам подменять адресную строку через window.open.
CVE-2023-26226В Yandex Browser для Desktop до версии 24.4.0.682 существует проблема использования памяти после освобождения (use-after-free), что может привести к выполнению произвольного кода [1].
Источники:
- [1] https://yandex.com/bugbounty/i/hall-of-fame-browser/
CVE-2020-27969Yandex Browser для Android 20.8.4 позволяет удаленным злоумышленникам выполнять обход SOP и подмену адресной строки.
CVE-2016-8503Предупреждение Yandex Protect Anti-phishing в Yandex Browser для настольных компьютеров с версии 16.7 до 16.9 может быть использовано удаленным злоумышленником для перебора паролей с важного веб-ресурса с помощью специального JavaScript.
CVE-2016-8502Предупреждение Yandex Protect Anti-phishing в Yandex Browser для настольных компьютеров с версии 15.12.0 до 16.2 может быть использовано удаленным злоумышленником для перебора паролей с важного веб-ресурса с помощью специального JavaScript.
CVE-2021-25262Браузер Yandex для Android версии до 21.3.0 позволяет удаленным злоумышленникам проводить атаку IDN homograph. [1]
Источники:
- [1] https://yandex.com/bugbounty/i/hall-of-fame-browser/
CVE-2016-8508Yandex Browser для настольных компьютеров до 17.1.1.227 не показывает предупреждения Protect (аналогично Safebrowsing в Chromium) на веб-сайтах со специальным типом контента, что может быть использовано удаленным злоумышленником для предотвращения предупреждения Protect на своем вредоносном веб-сайте.
CVE-2016-8507Yandex Browser для iOS до 16.10.0.2357 неправильно ограничивает обработку URL-адресов facetime://, что позволяет удаленным злоумышленникам инициировать вызов facetime без согласия пользователя и получать видео- и аудиоданные с устройства через специально созданный веб-сайт.
CVE-2016-8506XSS в Yandex Browser Translator в Yandex Browser для настольных компьютеров для версий с 15.12 до 16.2 может быть использована удаленным злоумышленником для выполнения произвольного кода javascript.
CVE-2016-8505XSS в Yandex Browser BookReader в Yandex Browser для настольных компьютеров для версий до 16.6 может быть использована удаленным злоумышленником для выполнения произвольного кода javascript.
CVE-2020-27970Yandex Browser до версии 20.10.0 позволяет удаленным злоумышленникам подделывать адресную строку.
CVE-2016-8501Обход безопасности WiFi в Yandex Browser с версии 15.10 до 15.12 позволяет удаленному злоумышленнику прослушивать трафик в открытых или WEP-защищенных сетях Wi-Fi, несмотря на включенный специальный механизм безопасности.
CVE-2020-7369Уязвимость User Interface (UI) Misrepresentation of Critical Information в адресной строке Yandex Browser позволяет злоумышленнику скрыть истинный источник данных, представленных в браузере. Эта проблема затрагивает Yandex Browser версии 20.8.3 и более ранние версии и была исправлена в версии 20.8.4, выпущенной 1 октября 2020 года.
CVE-2016-8504CSRF формы синхронизации в Yandex Browser для настольных компьютеров до версии 16.6 может быть использована удаленным злоумышленником для кражи сохраненных данных в профиле браузера.