CVE-2012-4196

Опубликовано: 29 окт. 2012

Источник: nvd

CVSS2: 6.4

EPSS Низкий

Уязвимость обхода политики одного происхождения с помощью атак на объект Location в Mozilla Firefox, Thunderbird и SeaMonkey

Описание

в Mozilla Firefox, Thunderbird и SeaMonkey злоумышленники способны обойти политику одного происхождения и прочитать объект Location с использованием атаки внедрения свойств прототипа. Это происходит из-за некорректной обработки механизмов защиты данного объекта.

Затронутые версии ПО

Mozilla Firefox до версии 16.0.2
Firefox ESR 10.x до версии 10.0.10
Thunderbird до версии 16.0.2
Thunderbird ESR 10.x до версии 10.0.10
SeaMonkey до версии 2.13.2

Тип уязвимости

Обход политики одного происхождения

Ссылки

http://lists.opensuse.org/opensuse-security-announce/2012-10/msg00019.html
Mailing List
Third Party Advisory
http://lists.opensuse.org/opensuse-security-announce/2012-10/msg00025.html
Mailing List
Third Party Advisory
http://rhn.redhat.com/errata/RHSA-2012-1407.html
Third Party Advisory
http://rhn.redhat.com/errata/RHSA-2012-1413.html
Third Party Advisory
http://secunia.com/advisories/51121
Third Party Advisory
http://secunia.com/advisories/51123
Third Party Advisory
http://secunia.com/advisories/51127
Third Party Advisory
http://secunia.com/advisories/51144
Third Party Advisory
http://secunia.com/advisories/51146
Third Party Advisory
http://secunia.com/advisories/51147
Third Party Advisory
http://secunia.com/advisories/51165
Third Party Advisory
http://secunia.com/advisories/55318
Third Party Advisory
http://www.mozilla.org/security/announce/2012/mfsa2012-90.html
Vendor Advisory
http://www.securityfocus.com/bid/56306
Third Party Advisory
VDB Entry
http://www.ubuntu.com/usn/USN-1620-1
Third Party Advisory
http://www.ubuntu.com/usn/USN-1620-2
Third Party Advisory
https://bugzilla.mozilla.org/show_bug.cgi?id=802557
Exploit
Issue Tracking
Patch
Vendor Advisory
https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A16962
Third Party Advisory
http://lists.opensuse.org/opensuse-security-announce/2012-10/msg00019.html
Mailing List
Third Party Advisory
http://lists.opensuse.org/opensuse-security-announce/2012-10/msg00025.html
Mailing List
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*

Версия до 16.0.2 (исключая)

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*

Версия от 10.0 (включая) до 10.0.10 (исключая)

cpe:2.3:a:mozilla:seamonkey:*:*:*:*:*:*:*:*

Версия до 2.13.2 (исключая)

cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:*

Версия до 16.0.2 (исключая)

cpe:2.3:a:mozilla:thunderbird_esr:*:*:*:*:*:*:*:*

Версия от 10.0 (включая) до 10.0.10 (исключая)

Конфигурация 2

Одно из

cpe:2.3:o:opensuse:opensuse:11.4:*:*:*:*:*:*:*

cpe:2.3:o:opensuse:opensuse:12.1:*:*:*:*:*:*:*

cpe:2.3:o:opensuse:opensuse:12.2:*:*:*:*:*:*:*

cpe:2.3:o:suse:linux_enterprise_desktop:10:sp4:*:*:*:*:*:*

cpe:2.3:o:suse:linux_enterprise_desktop:11:sp2:*:*:*:*:*:*

cpe:2.3:o:suse:linux_enterprise_server:10:sp4:*:*:*:*:*:*

cpe:2.3:o:suse:linux_enterprise_server:11:sp2:*:*:*:-:*:*

cpe:2.3:o:suse:linux_enterprise_server:11:sp2:*:*:*:vmware:*:*

cpe:2.3:o:suse:linux_enterprise_software_development_kit:10:sp4:*:*:*:*:*:*

cpe:2.3:o:suse:linux_enterprise_software_development_kit:11:sp2:*:*:*:*:*:*

Конфигурация 3

Одно из

cpe:2.3:o:canonical:ubuntu_linux:10.04:*:*:*:-:*:*:*

cpe:2.3:o:canonical:ubuntu_linux:11.04:*:*:*:*:*:*:*

cpe:2.3:o:canonical:ubuntu_linux:11.10:*:*:*:*:*:*:*

cpe:2.3:o:canonical:ubuntu_linux:12.04:*:*:*:esm:*:*:*

cpe:2.3:o:canonical:ubuntu_linux:12.10:*:*:*:*:*:*:*

Конфигурация 4

Одно из

cpe:2.3:o:redhat:enterprise_linux_desktop:5.0:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_desktop:6.0:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_eus:6.3:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_server:6.0:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_server:7.0:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_workstation:5.0:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_workstation:6.0:*:*:*:*:*:*:*

EPSS

Процентиль: 76%

0.00964

Низкий

6.4 Medium

CVSS2

Дефекты

CWE-74

Связанные уязвимости

CVE-2012-4196

ubuntu

почти 13 лет назад

Mozilla Firefox before 16.0.2, Firefox ESR 10.x before 10.0.10, Thunderbird before 16.0.2, Thunderbird ESR 10.x before 10.0.10, and SeaMonkey before 2.13.2 allow remote attackers to bypass the Same Origin Policy and read the Location object via a prototype property-injection attack that defeats certain protection mechanisms for this object.