CH azonosító
CH-7850Angol cím
Mozilla Firefox / Thunderbird / SeaMonkey "Location" Object Multiple VulnerabilitiesFelfedezés dátuma
2012.10.28.Súlyosság
AlacsonyÉrintett rendszerek
FirefoxMozilla
SeaMonkey
Thunderbird
Érintett verziók
Mozilla Firefox 10.x, 16.x
Mozilla SeaMonkey 2.x
Mozilla Thunderbird 10.x, 16.x
Összefoglaló
A Mozilla Firefox, Thunderbird és SeaMonkey több sérülékenységét jelentették, amiket kihasználva a támadók megkerülhetnek egyes biztonsági szabályokat és cross-site scripting (XSS/CSS) támadásokat hajthatnak végre.
Leírás
- A “window.location” objektum kezelésében lévő hibát kihasználva shadow műveletet lehet végrehajtani az objektumon, ami cross-site scripting (XSS/CSS) támadások végrehajtását teszi lehetővé.
- A “window.location” objektum “CheckURL()” függvényének egy hibáját kihasználva egy nem a megfelelő hívó dokumentumhoz fog visszatérni a rendszer, ami cross-site scripting (XSS/CSS) támadások végrehajtását teszi lehetővé.
- A Location objektum kezelésében lévő hibát kihasználva meg lehet kerülni a biztonsági wrapper által nyújtott védelmet, és más domain-ekből lehet hozzáférni a Location objektumhoz.
A sérülékenységeket az alábbi termékekben jelentették:
- Mozilla Firefox és Thunderbird 16.0.2 előtti verziók
- Mozilla Firefox ESR és Thunderbird ESR 10.0.10 előtti verziók
- Mozilla SeaMonkey 2.13.2 előtti verziók
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Other (Egyéb)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.mozilla.org
CVE-2012-4194 - NVD CVE-2012-4194
CVE-2012-4195 - NVD CVE-2012-4195
CVE-2012-4196 - NVD CVE-2012-4196
SECUNIA 51144