Уязвимость спуфинга значка "безопасного сайта" SSL в браузерах Firefox и Mozilla
Описание
В версиях Firefox до 1.0.1 и Mozilla до 1.7.6 злоумышленники способны подделать значок "безопасного сайта" SSL. Это может произойти в следующих случаях:
- Если веб-сайт не завершает загрузку, в этом случае отображается значок замка предыдущего сайта.
- Если используется сервер, который не применяет протокол HTTP и использует SSL, что приводит к отображению значка замка после завершения SSL handshake.
- Если URL генерирует ошибку HTTP 204, что обновляет информацию о значке и местоположении, но не меняет визуальное отображение оригинального сайта.
Затронутые версии ПО
- Firefox до версии 1.0.1
- Mozilla до версии 1.7.6
Тип уязвимости
- Подделка содержимого (спуфинг)
Ссылки
- PatchVendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- PatchVendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
Уязвимые конфигурации
Одно из
EPSS
2.6 Low
CVSS2
Дефекты
Связанные уязвимости
Firefox before 1.0.1 and Mozilla before 1.7.6 allows remote attackers to spoof the SSL "secure site" lock icon via (1) a web site that does not finish loading, which shows the lock of the previous site, (2) a non-HTTP server that uses SSL, which causes the lock to be displayed when the SSL handshake is completed, or (3) a URL that generates an HTTP 204 error, which updates the icon and location information but does not change the display of the original site.
Firefox before 1.0.1 and Mozilla before 1.7.6 allows remote attackers to spoof the SSL "secure site" lock icon via (1) a web site that does not finish loading, which shows the lock of the previous site, (2) a non-HTTP server that uses SSL, which causes the lock to be displayed when the SSL handshake is completed, or (3) a URL that generates an HTTP 204 error, which updates the icon and location information but does not change the display of the original site.
Firefox before 1.0.1 and Mozilla before 1.7.6 allows remote attackers ...
Firefox before 1.0.1 and Mozilla before 1.7.6 allows remote attackers to spoof the SSL "secure site" lock icon via (1) a web site that does not finish loading, which shows the lock of the previous site, (2) a non-HTTP server that uses SSL, which causes the lock to be displayed when the SSL handshake is completed, or (3) a URL that generates an HTTP 204 error, which updates the icon and location information but does not change the display of the original site.
EPSS
2.6 Low
CVSS2