• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Разглашение информации

Главная Специалистам База уязвимостей Разглашение информации
Уровень опасности
Высокая (7.5)
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:P/A:P)
Производитель ПО
HP
Наименование ПО
Mozilla (2.0.0.11) Firefox (2.0.0.1) SeaMonkey (1.0.8) devhelp (Unknown) firefox (Unknown) seamonkey (Unknown) thunderbird (Unknown)
Описание
Браузеры на основе Mozilla содержат уязвимость, которая может позволить злоумышленнику, действующему удаленно, обойти ограничения безопасности и получить конфиденциальную информацию. Эта уязвимость возникает из-за некорректной обработки перезаписи свойства DOM 'location.hostname'. Уязвимость эксплуатируется, когда сценарий злоумышленника на веб-странице заносит в свойство DOM 'location.hostname' имя узла, содержащее NULL-символы ('\x00'), что позволяет изменить свойство 'document.domain' для обхода политики межфреймового/межоконного доступа к данным. Это может дать злоумышленнику возможность манипулировать cookies аутентификации для произвольных веб-страниц и устанавливать режим отображения или работы соответствующих сайтов.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.mozilla.org/
Ссылки
FULLDISC (20070215 Firefox: serious cookie stealing / same-domain bypass vulnerability): http://www.securityfocus.com/archive/1/460217/100/0/threaded
http://lcamtuf.dione.cc/ffhostname.html
https://bugzilla.mozilla.org/show_bug.cgi?id=370445
CERT-VN (VU#885753): http://www.kb.cert.org/vuls/id/885753
BID (22566): http://www.securityfocus.com/bid/22566
SECTRACK (1017654): http://securitytracker.com/id?1017654
BUGTRAQ (20070226 rPSA-2007-0040-1 firefox): http://www.securityfocus.com/archive/1/archive/1/461336/100/0/threaded
BUGTRAQ (20070303 rPSA-2007-0040-3 firefox thunderbird): http://www.securityfocus.com/archive/1/archive/1/461809/100/0/threaded
http://www.mozilla.org/security/announce/2007/mfsa2007-07.html
https://issues.rpath.com/browse/RPL-1081
https://issues.rpath.com/browse/RPL-1103
FEDORA (FEDORA-2007-281): http://fedoranews.org/cms/node/2713
FEDORA (FEDORA-2007-293): http://fedoranews.org/cms/node/2728
GENTOO (GLSA-200703-04): http://security.gentoo.org/glsa/glsa-200703-04.xml
GENTOO (GLSA-200703-08): http://www.gentoo.org/security/en/glsa/glsa-200703-08.xml
MANDRIVA (MDKSA-2007:050): http://frontal2.mandriva.com/security/advisories?name=MDKSA-2007:050
REDHAT (RHSA-2007:0079): http://www.redhat.com/support/errata/RHSA-2007-0079.html
REDHAT (RHSA-2007:0077): http://rhn.redhat.com/errata/RHSA-2007-0077.html
REDHAT (RHSA-2007:0078): http://www.redhat.com/support/errata/RHSA-2007-0078.html
REDHAT (RHSA-2007:0097): http://www.redhat.com/support/errata/RHSA-2007-0097.html
REDHAT (RHSA-2007:0108): http://www.redhat.com/support/errata/RHSA-2007-0108.html
SUSE (SUSE-SA:2007:019): http://lists.suse.com/archive/suse-security-announce/2007-Mar/0001.html
UBUNTU (USN-428-1): http://www.ubuntu.com/usn/usn-428-1
FRSIRT (ADV-2007-0624): http://www.frsirt.com/english/advisories/2007/0624
FRSIRT (ADV-2007-0718): http://www.frsirt.com/english/advisories/2007/0718
OSVDB (32104): http://www.osvdb.org/32104
XF (firefox-locationhostname-security-bypass(32533)): http://xforce.iss.net/xforce/xfdb/32533
SGI (20070301-01-P): ftp://patches.sgi.com/support/free/security/advisories/20070301-01-P.asc
Межсайтовая подмена запроса Обход защиты от фишинг-атак
Назад к списку уязвимостей

17.04.2020
Повышение привилегий База уязвимостей
14.12.2019
Бюллетень безопасности ELSA-2019-4878 База уязвимостей
19.07.2012
Подмена данных База уязвимостей
06.11.2014
Не установлено исправление 121453-02 База уязвимостей
21.07.2018
Уведомление безопасности usn-668-1 База уязвимостей
01.04.2013
Не установлено исправление номер 109896-35 База уязвимостей