Security Lab

Обход ограничений при обработке Drag and Drop операций в Mozilla

Дата публикации:25.03.2005
Дата изменения:14.03.2009
Всего просмотров:1382
Опасность:
Низкая
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Неавторизованное изменение данных
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Mozilla Thunderbird
Mozilla Thunderbird 1.0.x
Уязвимые версии: Mozilla Suite версии до 1.7.6; Mozilla Firefox версии до 1.0.2

Описание:
Уязвимость позволяет удаленному пользователю открыть привилегированный XUL код и дает возможность выполнить произвольный код на уязвимой системе.

Уязвимость существует при обработке Drag and Drop операций. Злоумышленник может создать специальным образом web страницу с объектом, в случае перетаскивания которого целевым пользователем, будет совершен обход ограничений XUL. Удаленный пользователь может также выполнить произвольный код на системе в зависимости от браузера и его оснастки.

Пример/Эксплоит: http://mikx.de/firescrolling2/

URL производителя: http://www.mozilla.org

Решение: Установите обновления от производителя.

Ссылки: Mozilla Drag and Drop Error Lets Remote Users Open Privileged XUL