Обход ограничений безопасности в Mozilla Firefox

Дата публикации:
25.01.2008
Дата изменения:
16.04.2008
Всего просмотров:
2997
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Раскрытие важных данных
Обход ограничений безопасности
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Mozilla Firefox 2.0.x
Уязвимые версии: Mozilla Firefox 2.0.0.11 для Windows, возможно более ранние версии

Описание:
Уязвимость позволяет удаленному пользователю получить доступ к важным данным.

Уязвимость существует из-за ошибки при обработке "chrome:" URI. Злоумышленник может подключить произвольные сценарии на локальной системе с помощью символов обхода каталога. Для успешной эксплуатации уязвимости требуется, чтобы на системе было установлено расширение, не сохраняющее содержимое сценариев в .jar файлах (например, DownLoad Statusbar). Пример:

<script>pref = function(x, y){document.write(x + ' -> ' + y + '<br>');};</script>
<script src='chrome://downbar/content/%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f
%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2fProgram%20Files%2fMozilla
%20Thunderbird%2fgreprefs%2fall.js'></script>

URL производителя: www.mozilla.com/en-US/firefox/

Решение: Установите последнюю версию 2.0.0.12 с сайта производителя.

Журнал изменений:

08.02.2008
Обновлена секция «Решение».

Ссылки: Mozilla Foundation Security Advisory 2008-05

или введите имя

CAPTCHA
01-02-2008 09:46:46
Mozilla Firefox 2.0.0.11 для Windows, возможно более ранние версии То есть те, что НЕ на винде сидят - спят спокойно?
0 |