Мы исправили следующие уязвимости из базы CVE, обнаруженные в Яндекс Браузере.
24.7.1
| Идентификатор уязвимости |
Описание (EN) |
Описание (RU) |
Критичность |
| CVE-2024-6473 |
DLL Hijacking in Yandex Browser. |
DLL-Hijacking в Яндекс Браузере. |
Critical |
22.5.0
| Идентификатор уязвимости |
Описание (EN) |
Описание (RU) |
Критичность |
| CVE-2021-25261 |
An elevation of privilege vulnerability exists in Yandex Browser prior to 22.5.0.826. |
В версиях ранее 22.5.0.826 присутствует уязвимость повышения привилегий локальным пользователем. |
High |
22.3.3
| Идентификатор уязвимости |
Описание (EN) |
Описание (RU) |
Критичность |
| CVE-2022-28225 |
An elevation of privilege vulnerability exists in Yandex Browser prior to 22.3.3.684. |
В версиях ранее 22.3.3.684 присутствует уязвимость повышения привилегий локальным пользователем. |
High |
| CVE-2022-28226 |
An elevation of privilege vulnerability exists in Yandex Browser prior to 22.3.3.801. |
В версиях ранее 22.3.3.801 присутствует уязвимость повышения привилегий локальным пользователем. |
High |
21.9.0
| Идентификатор уязвимости |
Описание (EN) |
Описание (RU) |
Критичность |
| CVE-2021-25263 |
An elevation of privilege vulnerability exists in Yandex Browser prior to 21.9.0.390. |
В версиях ранее 21.9.0.390 присутствует уязвимость повышения привилегий локальным пользователем. |
High |
17.4.1
| Идентификатор уязвимости |
Описание (EN) |
Описание (RU) |
Критичность |
| CVE-2017-7327 |
Yandex Browser installer for Desktop before 17.4.1 has a DLL Hijacking Vulnerability because an untrusted search path is used for dnsapi.dll, winmm.dll, ntmarta.dll, cryptbase.dll or profapi.dll. |
Файл-установщик Яндекс Браузера был уязвим к DLL-Hijacking из-за отсутствия проверок загрузки путей для dnsapi.dll, winmm.dll, ntmarta.dll, cryptbase.dll or profapi.dll. |
High |
17.4.0
| Идентификатор уязвимости |
Описание (EN) |
Описание (RU) |
Критичность |
| CVE-2017-7326 |
Race condition issue in Yandex Browser for Android before 17.4.0.16 allowed a remote attacker to potentially exploit memory corruption via a crafted HTML page. |
Состояние гонки (race-condition) в Яндекc Браузер для Android позволяло эксплуатировать уязвимость повреждения памяти, используя специально подготовленную HTML-страницу. |
High |
17.1.1
| Идентификатор уязвимости |
Описание (EN) |
Описание (RU) |
Критичность |
| CVE-2016-8508 |
Yandex Browser for desktop before 17.1.1.227 does not show Protect (similar to Safebrowsing in Chromium) warnings in web-sites with special content-type, which could be used by remote attacker for prevention Protect warning on own malicious web-site. |
Уведомление о подозрительном контенте, что технология Protect в Яндекс Браузере не отображается для определенных типов контента. |
Medium |
16.10.0
| Идентификатор уязвимости |
Описание (EN) |
Описание (RU) |
Критичность |
| CVE-2016-8507 |
Yandex Browser for iOS before 16.10.0.2357 does not properly restrict processing of facetime:// URLs, which allows remote attackers to initiate facetime-call without user's approval and obtain video and audio data from a device via a crafted web site. |
Яндекс Браузер для iOS некорректно осуществлял проверку URL со схемой facetime://, в результате чего атакующий получал возможность инициировать видеозвонок без уведомления пользователя. |
Medium |
16.9
| Идентификатор уязвимости |
Описание (EN) |
Описание (RU) |
Критичность |
| CVE-2016-8503 |
Yandex Protect Anti-phishing warning in Yandex Browser for desktop from version 16.7 to 16.9 could be used by remote attacker for brute-forcing passwords from important web-resource with special JavaScript. |
Уведомление, что технология Антифишинг может быть использована для перебора паролей пользователя. |
High |
| CVE-2017-7325 |
Yandex Browser before 16.9.0 allows remote attackers to spoof the address bar via window.open. |
Уязвимость позволяла атакующему подменить значение адресной строки Яндекс Браузер c помощью вызова window.open. |
High |
16.6
| Идентификатор уязвимости |
Описание (EN) |
Описание (RU) |
Критичность |
| CVE-2016-8504 |
CSRF of synchronization form in Yandex Browser for desktop before version 16.6 could be used by remote attacker to steal saved data in browser profile. |
CSRF в механизме синхронизации форм в Яндекс Браузере позволяет атакующему получить доступ к сохраненным данным профиля пользователя. |
Medium |
| CVE-2016-8505 |
XSS in Yandex Browser BookReader in Yandex browser for desktop for versions before 16.6. could be used by remote attacker for evaluation arbitrary javascript code. |
XSS в расширении BookReader в Яндекс Браузере позволяет атакующему выполнить произвольный javascript код. |
Medium |
16.2
| Идентификатор уязвимости |
Описание (EN) |
Описание (RU) |
Критичность |
| CVE-2016-8502 |
Yandex Protect Anti-phishing warning in Yandex Browser for desktop from version 15.12.0 to 16.2 could be used by remote attacker for brute-forcing passwords from important web-resource with special JavaScript. |
Уведомление, что технология Антифишинг может быть использована для перебора паролей пользователя. |
High |
| CVE-2016-8506 |
XSS in Yandex Browser Translator in Yandex browser for desktop for versions from 15.12 to 16.2 could be used by remote attacker for evaluation arbitrary javascript code. |
XSS в расширении Переводчик в Яндекс Браузере позволяет атакующему выполнить произвольный javascript код. |
Medium |
15.12
| Идентификатор уязвимости |
Описание (EN) |
Описание (RU) |
Критичность |
| CVE-2016-8501 |
Security WiFi bypass in Yandex Browser from version 15.10 to 15.12 allows remote attacker to sniff traffic in open or WEP-protected wi-fi networks despite of special security mechanism is enabled. |
Уязвимость в технологии Безопасный WiFi в Яндекс Браузере позволяет атакующему осуществлять перехват сетевого трафика в открытых или WEP-сетях. |
Medium |
Написать в службу поддержки
Также вы можете перейти на сервис
Полезные ссылки
Промостраница Яндекс Браузера для организаций