Уязвимость использования поддельных сертификатов для автообновления в Mozilla Firefox и Thunderbird
Описание
В браузерах Mozilla Firefox до версии 1.5.0.7 и Thunderbird до версии 1.5.0.7 пользователи легко могут принять самоподписанные сертификаты для механизма автообновления. Это позволяет удалённым злоумышленникам при помощи DNS спуфинга (подмены данных в DNS для обмана пользователей) перенаправить пользователей на вредоносный сайт и заставить их принять поддельный сертификат для сайта обновлений Mozilla. В результате этого на устройстве пользователя может быть установлено произвольное вредоносное ПО при следующем обновлении.
Затронутые версии ПО
- Mozilla Firefox до версии 1.5.0.7
- Thunderbird до версии 1.5.0.7
Тип уязвимости
- Спуфинг (подмена данных)
- Установление произвольного кода
Ссылки
- PatchVendor Advisory
- PatchVendor Advisory
Уязвимые конфигурации
Одно из
EPSS
2.6 Low
CVSS2
Дефекты
Связанные уязвимости
Mozilla Firefox before 1.5.0.7 and Thunderbird before 1.5.0.7 makes it easy for users to accept self-signed certificates for the auto-update mechanism, which might allow remote user-assisted attackers to use DNS spoofing to trick users into visiting a malicious site and accepting a malicious certificate for the Mozilla update site, which can then be used to install arbitrary code on the next update.
Mozilla Firefox before 1.5.0.7 and Thunderbird before 1.5.0.7 makes it easy for users to accept self-signed certificates for the auto-update mechanism, which might allow remote user-assisted attackers to use DNS spoofing to trick users into visiting a malicious site and accepting a malicious certificate for the Mozilla update site, which can then be used to install arbitrary code on the next update.
Mozilla Firefox before 1.5.0.7 and Thunderbird before 1.5.0.7 makes it ...
Mozilla Firefox before 1.5.0.7 and Thunderbird before 1.5.0.7 makes it easy for users to accept self-signed certificates for the auto-update mechanism, which might allow remote user-assisted attackers to use DNS spoofing to trick users into visiting a malicious site and accepting a malicious certificate for the Mozilla update site, which can then be used to install arbitrary code on the next update.
EPSS
2.6 Low
CVSS2