Security Lab

Множественные уязвимости в продуктах Mozilla

Дата публикации:29.10.2012
Дата изменения:06.11.2012
Всего просмотров:2602
Опасность:
Низкая
Наличие исправления: Да
Количество уязвимостей:3
CVSSv2 рейтинг: 2.6 (AV:N/AC:H/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C)
4.3 (AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C)
4.3 (AV:N/AC:M/Au:N/C:P/I:N/A:N/E:U/RL:O/RC:C)
CVE ID: CVE-2012-4194
CVE-2012-4195
CVE-2012-4196
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
Раскрытие важных данных
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Mozilla Thunderbird 16.x
Mozilla Firefox 16.x
Mozilla Firefox 10.x
Mozilla Thunderbird 10.x
Mozilla SeaMonkey 2.x
Уязвимые версии:
Firefox 16.0.2
Mozilla Firefox ESR 10.0.10
Mozilla Thunderbird 16.0.2
Mozilla Thunderbird ESR 10.0.10
Mozilla SeaMonkey 2.13.2

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю осуществить XSS атаку.

1. Уязвимость существует из-за ошибки в методе valueOf при работе с определенными плагинами. Удаленный пользователь может осуществить XSS атаку.

2. Уязвимость существует из-за ошибки в функции CheckURL() при определении window.location. Удаленный пользователь может осуществить XSS атаку.

3. Уязвимость существует из-за ошибки в объекте Location. Удаленный пользователь может обойти ограничение безопасности и осуществить кросс-доменное чтение объекта Location.

URL производителя: http://mozilla.org/

Решение: Для устранения уязвимости установите исправление с сайта производителя.

Ссылки: http://www.mozilla.org/security/announce/2012/mfsa2012-90.html
Журнал изменений: a:2:{s:4:"TEXT";s:43:"06.11.2012
Незначительные изменения.";s:4:"TYPE";s:4:"html";}