Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:N/I:P/A:N)
Производитель ПО
Описание
Обработчик протокола jar в Mozilla Firefox и SeaMonkey не обновляет исходный домен, когда получает параметр внутреннего URL после HTTP redirect, что позволяет злоумышленникам, действующим удаленно, проводить атаки межсайтового выполнения сценариев, используя jar: URI.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.mozilla.org/
http://www.mozilla.org/
Ссылки
http://blog.beford.org/?p=8
http://www.mozilla.org/security/announce/2007/mfsa2007-37.html
https://bugzilla.mozilla.org/show_bug.cgi?id=369814
https://bugzilla.mozilla.org/show_bug.cgi?id=403331
HP (HPSBUX02153): http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c00771742
FRSIRT (ADV-2008-0083): http://www.frsirt.com/english/advisories/2008/0083
http://www.mozilla.org/security/announce/2007/mfsa2007-37.html
https://bugzilla.mozilla.org/show_bug.cgi?id=369814
https://bugzilla.mozilla.org/show_bug.cgi?id=403331
HP (HPSBUX02153): http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c00771742
FRSIRT (ADV-2008-0083): http://www.frsirt.com/english/advisories/2008/0083