Уязвимость утечки данных через Blob URL в режиме приватного просмотра в Firefox
Описание
Blob URL может нарушать разделение атрибутов происхождения, что позволяет получить к нему доступ из вкладки приватного просмотра и передавать данные между вкладкой приватного просмотра и обычной вкладкой. Это может приводить к утечке приватной информации, связанной с контекстом приватного просмотра. Однако уязвимость может быть использована только в том случае, если пользователь вручную вводит Blob URL для возникновения нарушения доступа.
Затронутые версии ПО
- Firefox версий ниже 58
Тип уязвимости
Утечка данных из приватного режима просмотра
Ссылки
- Third Party AdvisoryVDB Entry
- Third Party AdvisoryVDB Entry
- Issue TrackingPermissions Required
- Third Party Advisory
- Vendor Advisory
- Third Party AdvisoryVDB Entry
- Third Party AdvisoryVDB Entry
- Issue TrackingPermissions Required
- Third Party Advisory
- Vendor Advisory
Уязвимые конфигурации
Одно из
EPSS
4.3 Medium
CVSS3
4.3 Medium
CVSS2
Дефекты
Связанные уязвимости
A Blob URL can violate origin attribute segregation, allowing it to be accessed from a private browsing tab and for data to be passed between the private browsing tab and a normal tab. This could allow for the leaking of private information specific to the private browsing context. This issue is mitigated by the requirement that the user enter the Blob URL manually in order for the access violation to occur. This vulnerability affects Firefox < 58.
A Blob URL can violate origin attribute segregation, allowing it to be ...
A Blob URL can violate origin attribute segregation, allowing it to be accessed from a private browsing tab and for data to be passed between the private browsing tab and a normal tab. This could allow for the leaking of private information specific to the private browsing context. This issue is mitigated by the requirement that the user enter the Blob URL manually in order for the access violation to occur. This vulnerability affects Firefox < 58.
Уязвимость браузера Mozilla Firefox, связанная с отсутствием защиты служебных данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
EPSS
4.3 Medium
CVSS3
4.3 Medium
CVSS2