Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:H/Au:N/C:P/I:P/A:N)
Производитель ПО
Описание
Mozilla Firefox, Mozilla Suite, Mozilla SeaMonkey и Netscape позволяют злоумышленникам, действующим удаленно, получить права на чтение произвольных файлов, если пользователь введет часть имени вредоносного файла в текстовое поле. Для перевода фокуса на другое поле и вставки введенных символов в поле для загрузки файла используются JavaScript-обработчики событий OnKeyDown, OnKeyPress и OnKeyUp, что может затем привести к загрузке данного файла при подтверждении формы. Для эксплуатации уязвимости необходимы активные действия со стороны пользователя.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.mozilla.com/
В качестве временного решения рекомендуется отключить поддержку JavaScript и не вводить подозрительный текст в ненадежных сайтах.
http://www.mozilla.com/
В качестве временного решения рекомендуется отключить поддержку JavaScript и не вводить подозрительный текст в ненадежных сайтах.
Ссылки
FULLDISC (20060605 file upload widgets in IE and Firefox have issues): http://lists.grok.org.uk/pipermail/full-disclosure/2006-June/046610.html
FRSIRT (ADV-2006-2160): http://www.frsirt.com/english/advisories/2006/2160
FRSIRT (ADV-2006-2162): http://www.frsirt.com/english/advisories/2006/2162
FRSIRT (ADV-2006-2163): http://www.frsirt.com/english/advisories/2006/2163
FRSIRT (ADV-2006-2164): http://www.frsirt.com/english/advisories/2006/2164
BID (18308): http://www.securityfocus.com/bid/18308
MANDRIVA (MDKSA-2006:143): http://frontal2.mandriva.com/security/advisories?name=MDKSA-2006:143
MANDRIVA (MDKSA-2006:145): http://frontal2.mandriva.com/security/advisories?name=MDKSA-2006:145
BUGTRAQ (20070211 Firefox focus stealing vulnerability (possibly other browsers)): http://archives.neohapsis.com/archives/bugtraq/2007-02/0166.html
BUGTRAQ (20070212 Re: [Full-disclosure] Firefox focus stealing vulnerability (possibly other browsers)): http://archives.neohapsis.com/archives/bugtraq/2007-02/0187.html
FULLDISC (20070211 Firefox focus stealing vulnerability (possibly other browsers)): http://lists.virus.org/full-disclosure-0702/msg00225.html
http://lcamtuf.coredump.cx/focusbug/
http://www.gnucitizen.org/blog/browser-focus-rip
http://www.thanhngan.org/fflinuxversion.html
https://bugzilla.mozilla.org/show_bug.cgi?id=290478
https://bugzilla.mozilla.org/show_bug.cgi?id=56236
https://bugzilla.mozilla.org/show_bug.cgi?id=370092
FRSIRT (ADV-2006-2160): http://www.frsirt.com/english/advisories/2006/2160
FRSIRT (ADV-2006-2162): http://www.frsirt.com/english/advisories/2006/2162
FRSIRT (ADV-2006-2163): http://www.frsirt.com/english/advisories/2006/2163
FRSIRT (ADV-2006-2164): http://www.frsirt.com/english/advisories/2006/2164
BID (18308): http://www.securityfocus.com/bid/18308
MANDRIVA (MDKSA-2006:143): http://frontal2.mandriva.com/security/advisories?name=MDKSA-2006:143
MANDRIVA (MDKSA-2006:145): http://frontal2.mandriva.com/security/advisories?name=MDKSA-2006:145
BUGTRAQ (20070211 Firefox focus stealing vulnerability (possibly other browsers)): http://archives.neohapsis.com/archives/bugtraq/2007-02/0166.html
BUGTRAQ (20070212 Re: [Full-disclosure] Firefox focus stealing vulnerability (possibly other browsers)): http://archives.neohapsis.com/archives/bugtraq/2007-02/0187.html
FULLDISC (20070211 Firefox focus stealing vulnerability (possibly other browsers)): http://lists.virus.org/full-disclosure-0702/msg00225.html
http://lcamtuf.coredump.cx/focusbug/
http://www.gnucitizen.org/blog/browser-focus-rip
http://www.thanhngan.org/fflinuxversion.html
https://bugzilla.mozilla.org/show_bug.cgi?id=290478
https://bugzilla.mozilla.org/show_bug.cgi?id=56236
https://bugzilla.mozilla.org/show_bug.cgi?id=370092
