Уязвимость подмены в Mozilla Firefox при обработке URL-адресов для страниц ошибок
Описание
В Mozilla Firefox версии до 48.0 некорректно устанавливаются флаги LINKABLE и URI_SAFE_FOR_UNTRUSTED_CONTENT у URL-адресов типа about:, которые используются для страниц ошибок. Это упрощает злоумышленникам проведение атак подмены через специально созданный URL. Например, при использовании вводящего в заблуждение текста после подстроки about:neterror?d=.
Затронутые версии ПО
- Mozilla Firefox до версии 48.0
Тип уязвимости
Подмена (спуфинг)
Ссылки
- Vendor Advisory
- Issue TrackingPermissions Required
- Vendor Advisory
- Issue TrackingPermissions Required
Уязвимые конфигурации
EPSS
4.3 Medium
CVSS3
4.3 Medium
CVSS2
Дефекты
Связанные уязвимости
Mozilla Firefox before 48.0 does not properly set the LINKABLE and URI_SAFE_FOR_UNTRUSTED_CONTENT flags of about: URLs that are used for error pages, which makes it easier for remote attackers to conduct spoofing attacks via a crafted URL, as demonstrated by misleading text after an about:neterror?d= substring.
Mozilla Firefox before 48.0 does not properly set the LINKABLE and URI_SAFE_FOR_UNTRUSTED_CONTENT flags of about: URLs that are used for error pages, which makes it easier for remote attackers to conduct spoofing attacks via a crafted URL, as demonstrated by misleading text after an about:neterror?d= substring.
Mozilla Firefox before 48.0 does not properly set the LINKABLE and URI ...
Mozilla Firefox before 48.0 does not properly set the LINKABLE and URI_SAFE_FOR_UNTRUSTED_CONTENT flags of about: URLs that are used for error pages, which makes it easier for remote attackers to conduct spoofing attacks via a crafted URL, as demonstrated by misleading text after an about:neterror?d= substring.
Уязвимость браузера Firefox, позволяющая нарушителю проводить спуфинг-атаки
EPSS
4.3 Medium
CVSS3
4.3 Medium
CVSS2