Уязвимость выполнения произвольного JavaScript кода с привилегиями chrome через некорректную реализацию Chrome Object Wrapper (COW) в Mozilla Firefox, Thunderbird и SeaMonkey
Описание
В реализации Chrome Object Wrapper (COW) в Mozilla Firefox, Thunderbird и SeaMonkey обнаружена уязвимость, которая позволяет злоумышленникам выполнить произвольный JavaScript код с привилегиями chrome. Уязвимость возникает из-за того, что механизм не предотвращает доступ к свойствам прототипа стандартного класса. Это может быть использовано путём обращения к специально сформированному веб-сайту.
Затронутые версии ПО
- Mozilla Firefox версии до 16.0
- Mozilla Firefox ESR версии 10.x до 10.0.8
- Thunderbird версии до 16.0
- Thunderbird ESR версии 10.x до 10.0.8
- SeaMonkey версии до 2.13
Тип уязвимости
Удалённое выполнение кода
Ссылки
- Mailing ListThird Party Advisory
- Broken Link
- Third Party Advisory
- Third Party Advisory
- Third Party Advisory
- Third Party Advisory
- Third Party Advisory
- Third Party Advisory
- Vendor Advisory
- Third Party AdvisoryVDB Entry
- Third Party Advisory
- Issue TrackingVendor Advisory
- Third Party AdvisoryVDB Entry
- Third Party Advisory
- Mailing ListThird Party Advisory
- Broken Link
- Third Party Advisory
- Third Party Advisory
- Third Party Advisory
- Third Party Advisory
Уязвимые конфигурации
Одно из
Одно из
EPSS
4.3 Medium
CVSS2
Дефекты
Связанные уязвимости
The Chrome Object Wrapper (COW) implementation in Mozilla Firefox before 16.0, Firefox ESR 10.x before 10.0.8, Thunderbird before 16.0, Thunderbird ESR 10.x before 10.0.8, and SeaMonkey before 2.13 does not prevent access to properties of a prototype for a standard class, which allows remote attackers to execute arbitrary JavaScript code with chrome privileges via a crafted web site.
The Chrome Object Wrapper (COW) implementation in Mozilla Firefox before 16.0, Firefox ESR 10.x before 10.0.8, Thunderbird before 16.0, Thunderbird ESR 10.x before 10.0.8, and SeaMonkey before 2.13 does not prevent access to properties of a prototype for a standard class, which allows remote attackers to execute arbitrary JavaScript code with chrome privileges via a crafted web site.
The Chrome Object Wrapper (COW) implementation in Mozilla Firefox befo ...
The Chrome Object Wrapper (COW) implementation in Mozilla Firefox before 16.0, Firefox ESR 10.x before 10.0.8, Thunderbird before 16.0, Thunderbird ESR 10.x before 10.0.8, and SeaMonkey before 2.13 does not prevent access to properties of a prototype for a standard class, which allows remote attackers to execute arbitrary JavaScript code with chrome privileges via a crafted web site.
EPSS
4.3 Medium
CVSS2