Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2017-7843

Опубликовано: 11 июн. 2018
Источник: nvd
CVSS3: 7.5
CVSS2: 5
EPSS Низкий

Уязвимость сохранения данных и слежки за пользователем при использовании IndexedDB в режиме приватного просмотра в Mozilla Firefox

Описание

При использовании режима приватного просмотра злоумышленник способен заставить веб-воркер записывать постоянные данные в IndexedDB и уникально идентифицировать пользователя. IndexedDB не должна быть доступна в режиме приватного просмотра, и записанные данные сохраняются между несколькими сессиями режима приватного просмотра, поскольку они не удаляются при выходе.

Затронутые версии ПО

  • Firefox ESR версий ниже 52.5.2
  • Firefox версий ниже 57.0.1

Тип уязвимости

  • Утечка информации
  • Подмена / слежка за пользователем

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:o:debian:debian_linux:7.0:*:*:*:*:*:*:*
cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:*
cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:*
Конфигурация 2
cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 57.0.1 (исключая)
Конфигурация 3
cpe:2.3:a:mozilla:firefox_esr:*:*:*:*:*:*:*:*
Версия до 52.5.2 (исключая)
Конфигурация 4

Одно из

cpe:2.3:o:redhat:enterprise_linux_desktop:6.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_desktop:7.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server:6.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server:7.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_aus:7.4:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_eus:7.4:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_eus:7.5:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_workstation:6.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_workstation:7.0:*:*:*:*:*:*:*

EPSS

Процентиль: 78%
0.01115
Низкий

7.5 High

CVSS3

5 Medium

CVSS2

Дефекты

CWE-200

Связанные уязвимости

ubuntu логотип

CVE-2017-7843

CVSS3: 7.5
ubuntu
больше 7 лет назад

When Private Browsing mode is used, it is possible for a web worker to write persistent data to IndexedDB and fingerprint a user uniquely. IndexedDB should not be available in Private Browsing mode and this stored data will persist across multiple private browsing mode sessions because it is not cleared when exiting. This vulnerability affects Firefox ESR < 52.5.2 and Firefox < 57.0.1.

redhat логотип

CVE-2017-7843

CVSS3: 7.5
redhat
почти 8 лет назад

When Private Browsing mode is used, it is possible for a web worker to write persistent data to IndexedDB and fingerprint a user uniquely. IndexedDB should not be available in Private Browsing mode and this stored data will persist across multiple private browsing mode sessions because it is not cleared when exiting. This vulnerability affects Firefox ESR < 52.5.2 and Firefox < 57.0.1.

debian логотип

CVE-2017-7843

CVSS3: 7.5
debian
больше 7 лет назад

When Private Browsing mode is used, it is possible for a web worker to ...

suse-cvrf логотип

openSUSE-SU-2017:3272-1

suse-cvrf
почти 8 лет назад

Security update for MozillaFirefox

github логотип

GHSA-rpf5-xpfp-546f

CVSS3: 7.5
github
больше 3 лет назад

When Private Browsing mode is used, it is possible for a web worker to write persistent data to IndexedDB and fingerprint a user uniquely. IndexedDB should not be available in Private Browsing mode and this stored data will persist across multiple private browsing mode sessions because it is not cleared when exiting. This vulnerability affects Firefox ESR < 52.5.2 and Firefox < 57.0.1.

EPSS

Процентиль: 78%
0.01115
Низкий

7.5 High

CVSS3

5 Medium

CVSS2

Дефекты

CWE-200