Уязвимость удалённого выполнения произвольного веб-скрипта в Mozilla Firefox, Thunderbird и SeaMonkey из-за некорректной обработки кодировок символов
Описание
В браузерах Mozilla Firefox до версии 2.0.0.12, Thunderbird до версии 2.0.0.12 и SeaMonkey до версии 1.1.8 обнаружены множественные уязвимости типа XSS (межсайтовый скриптинг), позволяющие злоумышленникам внедрять произвольные веб-скрипты или HTML. Уязвимости связаны с некорректной обработкой некоторых кодировок символов, включая (1) символ возврата, который интерпретируется как пробел, (2) символ 0x80 в кодировке Shift_JIS, а также (3) "нулевые по длине не-ASCII последовательности" в некоторых азиатских наборах символов.
Затронутые версии ПО
- Mozilla Firefox до версии 2.0.0.12
- Thunderbird до версии 2.0.0.12
- SeaMonkey до версии 1.1.8
Тип уязвимости
- Внедрение произвольного веб-скрипта (XSS)
Ссылки
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
Уязвимые конфигурации
Одно из
EPSS
4.3 Medium
CVSS2
Дефекты
Связанные уязвимости
Multiple cross-site scripting (XSS) vulnerabilities in Mozilla Firefox before 2.0.0.12, Thunderbird before 2.0.0.12, and SeaMonkey before 1.1.8 allow remote attackers to inject arbitrary web script or HTML via certain character encodings, including (1) a backspace character that is treated as whitespace, (2) 0x80 with Shift_JIS encoding, and (3) "zero-length non-ASCII sequences" in certain Asian character sets.
Multiple cross-site scripting (XSS) vulnerabilities in Mozilla Firefox before 2.0.0.12, Thunderbird before 2.0.0.12, and SeaMonkey before 1.1.8 allow remote attackers to inject arbitrary web script or HTML via certain character encodings, including (1) a backspace character that is treated as whitespace, (2) 0x80 with Shift_JIS encoding, and (3) "zero-length non-ASCII sequences" in certain Asian character sets.
Multiple cross-site scripting (XSS) vulnerabilities in Mozilla Firefox ...
Multiple cross-site scripting (XSS) vulnerabilities in Mozilla Firefox before 2.0.0.12, Thunderbird before 2.0.0.12, and SeaMonkey before 1.1.8 allow remote attackers to inject arbitrary web script or HTML via certain character encodings, including (1) a backspace character that is treated as whitespace, (2) 0x80 with Shift_JIS encoding, and (3) "zero-length non-ASCII sequences" in certain Asian character sets.
ELSA-2008-0103: Critical: firefox security update (CRITICAL)
EPSS
4.3 Medium
CVSS2