Security Lab

Обход ограничений безопасности в Mozilla Firefox

Дата публикации:17.02.2007
Дата изменения:28.01.2008
Всего просмотров:14592
Опасность:
Средняя
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Mozilla Thunderbird 1.5.x
Mozilla Firefox 2.0.x
Mozilla Thunderbird 2.x
Mozilla SeaMonkey 1.1.x
Уязвимые версии:
Mozilla Firefox 2.0.0.1 и более ранние версии
Mozilla Firefox 1.5.0.9 и более ранние версии

Описание:
Уязвимость позволяет удаленному пользователю произвести фиинг-атаку.

Злоумышленник может с помощью специально сформированной страницы открыть 'about:blank' URL в новом табе или новом окне и изменить его содержимое с помощью win.document.body.appendChild() или подобных функций. и произвести фишинг-атаку. Пример эксплуатации:

http://lcamtuf.coredump.cx/ffblank/

URL производителя: www.mozilla.com

Решение: Установите последнюю версию с сайта производителя.

Firefox:
Установите версию 2.0.0.6.
http://www.mozilla.com/en-US/firefox/

Thunderbird:
Установите версию 2.0.0.6.
http://www.mozilla.com/en-US/thunderbird/

Thunderbird:
Установите версию 1.5.0.13.
http://www.mozilla.com/en-US/thunderbird/

SeaMonkey:
Установите версию 1.1.4.
http://www.mozilla.org/projects/seamonkey/

Журнал изменений:

28.01.2008
Изменена секция «Решение».

Ссылки: Firefox: about:blank is phisher's best friend