Уязвимость выполнения произвольного JavaScript-кода с привилегиями chrome в Mozilla Firefox, Thunderbird через ресурсы URI
Описание
В Mozilla Firefox до версии 37.0, Firefox ESR 31.x до версии 31.6 и Thunderbird до версии 31.6 имеется уязвимость, связанная с некорректным ограничением ресурсов URI. Эта уязвимость позволяет злоумышленникам выполнять произвольный JavaScript-код с привилегиями chrome, используя возможность обхода политики одного происхождения. Примером является ресурс URI, связанный с PDF.js.
Затронутые версии ПО
- Mozilla Firefox до версии 37.0
- Firefox ESR 31.x до версии 31.6
- Thunderbird до версии 31.6
Тип уязвимости
- Выполнение произвольного кода
- Обход политики одного происхождения
Ссылки
- Vendor Advisory
Уязвимые конфигурации
Одно из
EPSS
5 Medium
CVSS2
Дефекты
Связанные уязвимости
Mozilla Firefox before 37.0, Firefox ESR 31.x before 31.6, and Thunderbird before 31.6 do not properly restrict resource: URLs, which makes it easier for remote attackers to execute arbitrary JavaScript code with chrome privileges by leveraging the ability to bypass the Same Origin Policy, as demonstrated by the resource: URL associated with PDF.js.
Mozilla Firefox before 37.0, Firefox ESR 31.x before 31.6, and Thunderbird before 31.6 do not properly restrict resource: URLs, which makes it easier for remote attackers to execute arbitrary JavaScript code with chrome privileges by leveraging the ability to bypass the Same Origin Policy, as demonstrated by the resource: URL associated with PDF.js.
Mozilla Firefox before 37.0, Firefox ESR 31.x before 31.6, and Thunder ...
Mozilla Firefox before 37.0, Firefox ESR 31.x before 31.6, and Thunderbird before 31.6 do not properly restrict resource: URLs, which makes it easier for remote attackers to execute arbitrary JavaScript code with chrome privileges by leveraging the ability to bypass the Same Origin Policy, as demonstrated by the resource: URL associated with PDF.js.
Уязвимость почтового клиента Thunderbird, позволяющая удалённому злоумышленнику выполнить произвольный JavaScript-код
EPSS
5 Medium
CVSS2