Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2013-1693

Опубликовано: 26 июн. 2013
Источник: nvd
CVSS2: 4.3
EPSS Низкий

Уязвимость утечки информации через реализацию SVG фильтров в Mozilla Firefox и Thunderbird, позволяющая считывать пиксельные значения и потенциально обходить политику одного происхождения

Описание

Реализация SVG фильтров в Mozilla Firefox и Thunderbird допускает возможность удаленно считывать пиксельные значения. Возможно также обойти политику одного происхождения и читать текст с разных доменов путем наблюдения за различиями во времени выполнения кода фильтров.

Затронутые версии ПО

  • Mozilla Firefox до версии 22.0
  • Mozilla Firefox ESR 17.x до версии 17.0.7
  • Mozilla Thunderbird до версии 17.0.7
  • Mozilla Thunderbird ESR 17.x до версии 17.0.7

Тип уязвимости

  • Утечка информации
  • Некорректная обработка временных задержек
  • Возможное нарушение политики одного происхождения

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 21.0 (включая)
cpe:2.3:a:mozilla:firefox:19.0:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:19.0.1:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:19.0.2:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:20.0:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:20.0.1:*:*:*:*:*:*:*
Конфигурация 2

Одно из

cpe:2.3:a:mozilla:firefox:17.0:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:17.0.1:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:17.0.2:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:17.0.3:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:17.0.4:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:17.0.5:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:17.0.6:*:*:*:*:*:*:*
Конфигурация 3

Одно из

cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:*
Версия до 17.0.6 (включая)
cpe:2.3:a:mozilla:thunderbird:17.0:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:thunderbird:17.0.1:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:thunderbird:17.0.2:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:thunderbird:17.0.3:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:thunderbird:17.0.4:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:thunderbird:17.0.5:*:*:*:*:*:*:*
Конфигурация 4

Одно из

cpe:2.3:a:mozilla:thunderbird_esr:17.0:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:thunderbird_esr:17.0.1:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:thunderbird_esr:17.0.2:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:thunderbird_esr:17.0.3:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:thunderbird_esr:17.0.4:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:thunderbird_esr:17.0.5:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:thunderbird_esr:17.0.6:*:*:*:*:*:*:*

EPSS

Процентиль: 62%
0.00441
Низкий

4.3 Medium

CVSS2

Дефекты

CWE-264

Связанные уязвимости

ubuntu логотип

CVE-2013-1693

ubuntu
около 12 лет назад

The SVG filter implementation in Mozilla Firefox before 22.0, Firefox ESR 17.x before 17.0.7, Thunderbird before 17.0.7, and Thunderbird ESR 17.x before 17.0.7 allows remote attackers to read pixel values, and possibly bypass the Same Origin Policy and read text from a different domain, by observing timing differences in execution of filter code.

redhat логотип

CVE-2013-1693

redhat
около 12 лет назад

The SVG filter implementation in Mozilla Firefox before 22.0, Firefox ESR 17.x before 17.0.7, Thunderbird before 17.0.7, and Thunderbird ESR 17.x before 17.0.7 allows remote attackers to read pixel values, and possibly bypass the Same Origin Policy and read text from a different domain, by observing timing differences in execution of filter code.

debian логотип

CVE-2013-1693

debian
около 12 лет назад

The SVG filter implementation in Mozilla Firefox before 22.0, Firefox ...

github логотип

GHSA-rw38-97rx-85hc

github
больше 3 лет назад

The SVG filter implementation in Mozilla Firefox before 22.0, Firefox ESR 17.x before 17.0.7, Thunderbird before 17.0.7, and Thunderbird ESR 17.x before 17.0.7 allows remote attackers to read pixel values, and possibly bypass the Same Origin Policy and read text from a different domain, by observing timing differences in execution of filter code.

oracle-oval логотип

ELSA-2013-0982

oracle-oval
около 12 лет назад

ELSA-2013-0982: thunderbird security update (IMPORTANT)

EPSS

Процентиль: 62%
0.00441
Низкий

4.3 Medium

CVSS2

Дефекты

CWE-264