Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:N/I:P/A:N)
Производитель ПО
Описание
Уязвимость существует в функции nsCSPHostSrc::permits в dom/security/nsCSPUtils.cpp в Mozilla Firefox и SeaMonkey из-за отсутствия исключений Content Security Policy Level 2 (политики защиты содержимого) для URL-адресов с blob:, data: и filesystem: при сопоставлении выражений с групповыми символами. Эксплуатация данной уязвимости позволяет злоумышленникам, действующим удаленно, провести межсайтовое выполнение сценариев, используя нестандартное поведение при реализации политики.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.mozilla.org/firefox/
http://www.seamonkey-project.org/
http://www.mozilla.org/firefox/
http://www.seamonkey-project.org/
Ссылки
https://www.mozilla.org/en-US/security/advisories/mfsa2015-91/
Источник: CVE
Наименование: CVE-2015-4490
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4490
Источник: CVE
Наименование: CVE-2015-4490
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4490