CVE-2012-3976

Опубликовано: 29 авг. 2012

Источник: nvd

CVSS2: 4.3

EPSS Низкий

Уязвимость спуфинга из-за некорректной обработки событий onLocationChange в браузерах Mozilla Firefox и SeaMonkey

Описание

В браузерах Mozilla Firefox и SeaMonkey существует уязвимость, связанная с некорректной обработкой событий onLocationChange во время навигации между различными HTTPS-сайтами. Это позволяет злоумышленникам подделывать информацию X.509 сертификатов в адресной строке с помощью специально созданной веб-страницы.

Затронутые версии ПО

Mozilla Firefox до версии 15.0
Firefox ESR 10.x до версии 10.0.7
SeaMonkey до версии 2.12

Тип уязвимости

Спуфинг информации в адресной строке

Ссылки

http://lists.opensuse.org/opensuse-security-announce/2012-08/msg00028.html
Mailing List
Third Party Advisory
http://lists.opensuse.org/opensuse-security-announce/2012-09/msg00011.html
Mailing List
Third Party Advisory
http://lists.opensuse.org/opensuse-security-announce/2012-09/msg00014.html
Mailing List
Third Party Advisory
http://rhn.redhat.com/errata/RHSA-2012-1210.html
Third Party Advisory
http://www.mozilla.org/security/announce/2012/mfsa2012-69.html
Vendor Advisory
http://www.securityfocus.com/bid/55313
Third Party Advisory
VDB Entry
http://www.ubuntu.com/usn/USN-1548-1
Third Party Advisory
http://www.ubuntu.com/usn/USN-1548-2
Third Party Advisory
http://www.xerox.com/download/security/security-bulletin/16287-4d6b7b0c81f7b/cert_XRX13-003_v1.0.pdf
Third Party Advisory
https://bugzilla.mozilla.org/show_bug.cgi?id=768568
Issue Tracking
Vendor Advisory
https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A16060
Third Party Advisory
http://lists.opensuse.org/opensuse-security-announce/2012-08/msg00028.html
Mailing List
Third Party Advisory
http://lists.opensuse.org/opensuse-security-announce/2012-09/msg00011.html
Mailing List
Third Party Advisory
http://lists.opensuse.org/opensuse-security-announce/2012-09/msg00014.html
Mailing List
Third Party Advisory
http://rhn.redhat.com/errata/RHSA-2012-1210.html
Third Party Advisory
http://www.mozilla.org/security/announce/2012/mfsa2012-69.html
Vendor Advisory
http://www.securityfocus.com/bid/55313
Third Party Advisory
VDB Entry
http://www.ubuntu.com/usn/USN-1548-1
Third Party Advisory
http://www.ubuntu.com/usn/USN-1548-2
Third Party Advisory
http://www.xerox.com/download/security/security-bulletin/16287-4d6b7b0c81f7b/cert_XRX13-003_v1.0.pdf
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*

Версия до 15.0 (исключая)

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*

Версия от 10.0 (включая) до 10.0.7 (исключая)

cpe:2.3:a:mozilla:seamonkey:*:*:*:*:*:*:*:*

Версия до 2.12 (исключая)

Конфигурация 2

Одно из

cpe:2.3:o:opensuse:opensuse:12.2:*:*:*:*:*:*:*

cpe:2.3:o:suse:linux_enterprise_desktop:10:sp4:*:*:-:*:*:*

cpe:2.3:o:suse:linux_enterprise_desktop:11:sp2:*:*:*:*:*:*

cpe:2.3:o:suse:linux_enterprise_server:10:sp4:*:*:-:*:*:*

cpe:2.3:o:suse:linux_enterprise_server:11:sp2:*:*:*:-:*:*

cpe:2.3:o:suse:linux_enterprise_server:11:sp2:*:*:*:vmware:*:*

cpe:2.3:o:suse:linux_enterprise_software_development_kit:11:sp2:*:*:*:*:*:*

Конфигурация 3

Одно из

cpe:2.3:o:redhat:enterprise_linux_desktop:5.0:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_desktop:6.0:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_eus:6.3:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_server:5.0:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_server:6.0:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_server_eus:6.3:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_workstation:5.0:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_workstation:6.0:*:*:*:*:*:*:*

Конфигурация 4

Одно из

cpe:2.3:o:canonical:ubuntu_linux:10.04:*:*:*:*:*:*:*

cpe:2.3:o:canonical:ubuntu_linux:11.04:*:*:*:*:*:*:*

cpe:2.3:o:canonical:ubuntu_linux:11.10:*:*:*:*:*:*:*

cpe:2.3:o:canonical:ubuntu_linux:12.04:*:*:*:esm:*:*:*

EPSS

Процентиль: 73%

0.00776

Низкий

4.3 Medium

CVSS2

Дефекты

CWE-200

Связанные уязвимости

CVE-2012-3976

ubuntu

почти 13 лет назад

Mozilla Firefox before 15.0, Firefox ESR 10.x before 10.0.7, and SeaMonkey before 2.12 do not properly handle onLocationChange events during navigation between different https sites, which allows remote attackers to spoof the X.509 certificate information in the address bar via a crafted web page.

CVE-2012-3976

redhat

почти 13 лет назад

CVE-2012-3976

debian

почти 13 лет назад

Mozilla Firefox before 15.0, Firefox ESR 10.x before 10.0.7, and SeaMo ...

GHSA-42j4-67r4-889f

github

больше 3 лет назад

ELSA-2012-1210

oracle-oval

почти 13 лет назад

ELSA-2012-1210: firefox security update (CRITICAL)

EPSS

Процентиль: 73%

0.00776

Низкий

4.3 Medium

CVSS2

Дефекты

CWE-200