CVE-2008-0591

Опубликовано: 09 фев. 2008

Источник: nvd

CVSS2: 4.3

EPSS Низкий

Уязвимость подмены содержимого в Mozilla Firefox и Thunderbird из-за некорректного управления задержкой таймера в диалогах подтверждения

Описание

Уязвимость возникает из-за некорректного управления задержкой таймера в диалогах подтверждения. Эта ошибка может позволить злоумышленникам обмануть пользователей и заставить их подтвердить небезопасное действие, например, удаленное выполнение файла. Злоумышленники могут использовать таймер для изменения фокуса окна, что известно как ошибка "dialog refocus bug" или "ffclick2".

Затронутые версии ПО

Mozilla Firefox версий до 2.0.0.12
Thunderbird версий до 2.0.0.12

Тип уязвимости

Подмена содержимого

Ссылки

http://archives.neohapsis.com/archives/fulldisclosure/2007-06/0026.html
http://browser.netscape.com/releasenotes/
http://lcamtuf.coredump.cx/ffclick2/
Exploit
http://lists.opensuse.org/opensuse-security-announce/2008-02/msg00006.html
http://secunia.com/advisories/28754
Vendor Advisory
http://secunia.com/advisories/28758
Vendor Advisory
http://secunia.com/advisories/28766
Vendor Advisory
http://secunia.com/advisories/28808
Vendor Advisory
http://secunia.com/advisories/28818
Vendor Advisory
http://secunia.com/advisories/28839
Vendor Advisory
http://secunia.com/advisories/28864
Vendor Advisory
http://secunia.com/advisories/28865
Vendor Advisory
http://secunia.com/advisories/28877
Vendor Advisory
http://secunia.com/advisories/28879
Vendor Advisory
http://secunia.com/advisories/28924
Vendor Advisory
http://secunia.com/advisories/28939
Vendor Advisory
http://secunia.com/advisories/28958
Vendor Advisory
http://secunia.com/advisories/29049
Vendor Advisory
http://secunia.com/advisories/29086
Vendor Advisory
http://secunia.com/advisories/29164
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*

Версия до 2.0.0.11 (включая)

cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:*

Версия до 2.0.0.11 (включая)

EPSS

Процентиль: 90%

0.0622

Низкий

4.3 Medium

CVSS2

Дефекты

NVD-CWE-Other

Связанные уязвимости

CVE-2008-0591

ubuntu

больше 17 лет назад

Mozilla Firefox before 2.0.0.12 and Thunderbird before 2.0.0.12 does not properly manage a delay timer used in confirmation dialogs, which might allow remote attackers to trick users into confirming an unsafe action, such as remote file execution, by using a timer to change the window focus, aka the "dialog refocus bug" or "ffclick2".