Ошибки позволяли скомпрометировать систему, осуществить спуфинг-атаку и изменить данные.
Компания Mozilla выпустила обновленную версию браузера Mozilla Firefox 44, где было устранено 17 уязвимостей. Наиболее опасные ошибки позволяли скомпрометировать систему, осуществить спуфинг-атаку и перехватить данные в ходе атаки «человек посередине».
В новой версии браузера было устранено четыре уязвимости, позволяющие скомпрометировать систему. Две ошибки (CVE-2016-1930 и CVE-2016-1931) позволяли выполнить произвольный код, когда пользователь запускал специально сформированный контент. Еще одна уязвимость (CVE-2016-1932) позволяла скомпрометировать систему при запуске специально сформированной GIF-анимации.
Последняя ошибка существовала из-за ошибки переполнения буфера в функции BufferSubData() и позволяла выполнить произвольный код при обработке WebGL-контента.
Несколько уязвимостей существовали из-за некорректной обработки файлов cookie. К примеру, вставив вертикальный разделитель в одно из значений файла, удаленный злоумышленник мог вызвать ошибку обработки и раскрыть данные жертвы. Уязвимость получила идентификатор CVE-2016-1937.
Ряд ошибок позволял осуществить спуфинг-атаку через адресную строку браузера. Данные уязвимости в основном затрагивают версию Firefox для Android. Лишь одна ошибка (CVE-2016-1943) актуальна для версии браузера для настольных платформ.
Отдельно стоит отметить уязвимость CVE-2016-1948. Ошибка существует из-за использования незашифрованного протокола HTTP для загрузки тем оформления браузера. Удаленный злоумышленник с возможностью осуществления атаки «человек посередине» может перехватить содержимое пакетов и изменить данные.