Отказ в обслуживании в Mozzila в импорте сертификатов

Дата публикации:
18.07.2004
Всего просмотров:
1231
Опасность:
Низкая
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Уязвимые версии: Mozilla 1.7 и более ранние версии

Описание: Отказ в обслуживании обнаружен в Mozzila в импорте сертификатов. Удаленный пользователь может незаметно импортировать некорректный root сертификат, вызывая условия отказа в обслуживании для SSL подключений.

Удаленный пользователь может послать специально обработанный email, чтобы заставить злонамеренный сертификат перезаписать встроенный certificate authority (CA) root сертификат на целевом браузере пользователя. Злонамеренный сертификат должен иметь тоже самое distinguished имя, что и целевой CA root сертификат. Это приведет к сообщению об ошибке (error -8182) при попытке целевым пользователем посетить https url.

Уязвимость может эксплуатироваться через специально обработанное e-mail сообщение через 'application/x-x509-email-cert' MIME тип или через Web страницу (например, используя IFRAME тэг).

Пример/Эксплоит: См. источник сообщения.

URL производителя:http://bugzilla.mozilla.org/show_bug.cgi?id=249004

Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

Ссылки: Overriding built-in certificate leading to error -8182 (DoS), especially

или введите имя

CAPTCHA