Mozilla Firefox Wizz RSS hírolvasó bővítmény cross-context scripting sebezhetősége

CH azonosító

CH-494

Felfedezés dátuma

2007.04.16.

Súlyosság

Magas

Érintett rendszerek

Wizz Computers
Wizz RSS News Reader

Érintett verziók

Wizz Computers Wizz RSS News Reader (Mozilla Firefox) 2.x

Összefoglaló

Jelentették a Mozilla Firefox Wizz RSS hírolvasó bővítmény egy hibáját, amit kihasználva támadók megszerezhetik az irányítást a Mozilla Firefox fölött.

Leírás

Jelentették a Mozilla Firefox Wizz RSS hírolvasó bővítmény egy hibáját, amit kihasználva támadók megszerezhetik az irányítást a Mozilla Firefox fölött.

Bizonyos bemenet nincs megfelelően kezelve, ezért pl. tetszőleges script kód futtatható a “chrome:” (időzített végrehajtás) segítségével.

A sikeres támadás előfeltétele, hogy a felhasználó feliratkozzon egy különlegesen kialakított RSS csatornára.

A 2.1.9-nél korábbi verziók érintettek.

Megoldás

Frissítsen a legújabb verzióra