• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Межсайтовое выполнение сценариев

Главная Специалистам База уязвимостей Межсайтовое выполнение сценариев

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:H/Au:N/C:P/I:N/A:P)
Производитель ПО
Наименование ПО
SeaMonkey (1.0 Alpha, 1.0.1) Thunderbird (1.0, 1.0.8, 1.5 Beta 2, 1.5.0.2)
Описание
Mozilla Suite, Mozilla SeaMonkey и Mozilla Thunderbird содержат уязвимость, приводящую к удаленным атакам межсайтового скриптинга. Данная уязвимость связана с тем, что приложения не проверяют JavaScript-код, содержащийся в электронных письмах, при пересылке их другому адресату.  Это может позволить пользователю сформировать специальное электронное письмо, выполняющее произвольный код в браузере в контексте пользователя.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.mozilla.org/products/
Как временное решение производитель рекомендует следующее: настройте почту на режим "Plain text" (текст без форматирования), т.к. этой уязвимости подвержены только письма с HTML. В настройках учетной записи Thunderbird на странице "Composition and Addressing" отключите опцию "Compose messages in HTML format".
Ссылки
BUGTRAQ (20060222 Mozilla Thunderbird : Remote Code Execution & Denial of Service): http://www.securityfocus.com/archive/1/archive/1/425786/100/0/threaded
BID (16770): http://www.securityfocus.com/bid/16770
SECTRACK (1015665): http://securitytracker.com/id?1015665
MANDRIVA (MDKSA-2006:052): http://frontal2.mandriva.com/security/advisories?name=MDKSA-2006:052
MANDRIVA (MDKSA-2006:076): http://frontal2.mandriva.com/security/advisories?name=MDKSA-2006:076
MANDRIVA (MDKSA-2006:078): http://frontal2.mandriva.com/security/advisories?name=MDKSA-2006:078
DEBIAN (DSA-1046): http://www.debian.org/security/2006/dsa-1046
GENTOO (GLSA-200604-18): http://www.gentoo.org/security/en/glsa/glsa-200604-18.xml
SGI (20060404-01-U): ftp://patches.sgi.com/support/free/security/advisories/20060404-01-U.asc
SUSE (SUSE-SA:2006:022): http://www.novell.com/linux/security/advisories/2006_04_25.html
DEBIAN (DSA-1051): http://www.debian.org/security/2006/dsa-1051
UBUNTU (USN-276-1): http://www.ubuntulinux.org/support/documentation/usn/usn-276-1
SUSE (SUSE-SA:2006:021): http://lists.suse.com/archive/suse-security-announce/2006-Apr/0003.html
GENTOO (GLSA-200605-09): http://www.gentoo.org/security/en/glsa/glsa-200605-09.xml
REDHAT (RHSA-2006:0329): http://www.redhat.com/support/errata/RHSA-2006-0329.html
REDHAT (RHSA-2006:0330): http://www.redhat.com/support/errata/RHSA-2006-0330.html
FEDORA (FLSA:189137-1): http://www.securityfocus.com/archive/1/archive/1/436296/100/0/threaded
http://www.mozilla.org/security/announce/2006/mfsa2006-21.html
HP (HPSBUX02122): http://www.securityfocus.com/archive/1/archive/1/438730/100/0/threaded
SCO (SCOSA-2006.26): ftp://ftp.sco.com/pub/updates/UnixWare/SCOSA-2006.26/SCOSA-2006.26.txt
OSVDB (23653): http://www.osvdb.org/23653
SUNALERT (102550): http://sunsolve.sun.com/search/document.do?assetkey=1-26-102550-1
HP (HPSBUX02156): http://www.securityfocus.com/archive/1/archive/1/446657/100/200/threaded
http://support.avaya.com/elmodocs2/security/ASA-2006-205.htm
OVAL (oval:org.mitre.oval:def:2024): http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:2024
XF (mozilla-inline-fwd-code-execution(25983)): http://xforce.iss.net/xforce/xfdb/25983