CVE-2016-9895

Опубликовано: 11 июн. 2018

Источник: nvd

CVSS3: 6.1

CVSS2: 4.3

EPSS Низкий

Уязвимость выполнения обработчиков событий в элементах "marquee" в Firefox и Thunderbird при строгой политике безопасности контента (CSP)

Описание

Обработчики событий (event handlers) выполнялись на элементах "marquee", несмотря на строгую политику безопасности контента (CSP), запрещающую встроенный JavaScript.

Затронутые версии ПО

Firefox версии менее 50.1
Firefox ESR версии менее 45.6
Thunderbird версии менее 45.6

Ссылки

http://rhn.redhat.com/errata/RHSA-2016-2946.html
Third Party Advisory
http://rhn.redhat.com/errata/RHSA-2016-2973.html
Third Party Advisory
http://www.securityfocus.com/bid/94885
Third Party Advisory
VDB Entry
http://www.securitytracker.com/id/1037461
Third Party Advisory
VDB Entry
https://bugzilla.mozilla.org/show_bug.cgi?id=1312272
Exploit
Issue Tracking
Patch
Vendor Advisory
https://security.gentoo.org/glsa/201701-15
Third Party Advisory
https://www.debian.org/security/2017/dsa-3757
Third Party Advisory
https://www.mozilla.org/security/advisories/mfsa2016-94/
Vendor Advisory
https://www.mozilla.org/security/advisories/mfsa2016-95/
Vendor Advisory
https://www.mozilla.org/security/advisories/mfsa2016-96/
Vendor Advisory
http://rhn.redhat.com/errata/RHSA-2016-2946.html
Third Party Advisory
http://rhn.redhat.com/errata/RHSA-2016-2973.html
Third Party Advisory
http://www.securityfocus.com/bid/94885
Third Party Advisory
VDB Entry
http://www.securitytracker.com/id/1037461
Third Party Advisory
VDB Entry
https://bugzilla.mozilla.org/show_bug.cgi?id=1312272
Exploit
Issue Tracking
Patch
Vendor Advisory
https://security.gentoo.org/glsa/201701-15
Third Party Advisory
https://www.debian.org/security/2017/dsa-3757
Third Party Advisory
https://www.mozilla.org/security/advisories/mfsa2016-94/
Vendor Advisory
https://www.mozilla.org/security/advisories/mfsa2016-95/
Vendor Advisory
https://www.mozilla.org/security/advisories/mfsa2016-96/
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:*

Конфигурация 2

Одно из

cpe:2.3:o:redhat:enterprise_linux:5.0:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux:6.0:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux:7.0:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_desktop:5.0:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_desktop:6.0:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_desktop:7.0:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_server:5.0:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_server:6.0:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_server:7.0:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_server_aus:7.3:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_server_aus:7.4:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_server_eus:7.3:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_server_eus:7.4:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_server_eus:7.5:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_workstation:5.0:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_workstation:6.0:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_workstation:7.0:*:*:*:*:*:*:*

Конфигурация 3

cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:*

Версия до 45.6.0 (исключая)

Конфигурация 4

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*

Версия до 50.1 (исключая)

Конфигурация 5

cpe:2.3:a:mozilla:firefox_esr:*:*:*:*:*:*:*:*

Версия до 45.6.0 (исключая)

EPSS

Процентиль: 71%

0.00709

Низкий

6.1 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-254

Связанные уязвимости

CVE-2016-9895

CVSS3: 6.1

ubuntu

больше 7 лет назад

Event handlers on "marquee" elements were executed despite a strict Content Security Policy (CSP) that disallowed inline JavaScript. This vulnerability affects Firefox < 50.1, Firefox ESR < 45.6, and Thunderbird < 45.6.

CVE-2016-9895

CVSS3: 6.1

redhat

почти 9 лет назад

CVE-2016-9895

CVSS3: 6.1

debian

больше 7 лет назад

Event handlers on "marquee" elements were executed despite a strict Co ...

GHSA-q8q4-9m7f-q3rp

CVSS3: 6.1

github

больше 3 лет назад

ELSA-2016-2973

oracle-oval

почти 9 лет назад

ELSA-2016-2973: thunderbird security update (IMPORTANT)

EPSS

Процентиль: 71%

0.00709

Низкий

6.1 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-254