Összefoglaló
A Firefoxhoz készült Sage bővítmény olyan sérülékenysége vált ismertté, melyet kihasználva támadók föltörhetik a felhasználó rendszerét.
Leírás
A Firefoxhoz készült Sage bővítmény olyan sérülékenysége vált ismertté, melyet kihasználva támadók föltörhetik a felhasználó rendszerét.
A “description” címkéhez rendelt bemenet az RSS csatornáknál nincs megfelelően megtisztítva a tartalom megjelenítése előtt. Ez kihasználható tetszőleges script kód futtatására a “chrome:”-mal kapcsolatosan és tetszőleges parancs futtatására a felhasználó rendszerén, ha meglátogat egy speciálisan szerkesztett weboldalt vagy követ egy speciálisan szerkesztett linket.
A sérülékenység az 1.4.3. verzióban található. Egyéb verziók is érintettek lehetnek.
Megoldás
Tiltsa le a bővítményt a frissítés megjelenéséig, valamint kizárólag megbízható forrásból származó linkeket nyisson meg és megbízható weboldalakat látogasson!
Támadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)