Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2018-5174

Опубликовано: 11 июн. 2018
Источник: nvd
CVSS3: 7.5
CVSS2: 5
EPSS Низкий

Уязвимость снижения уровня безопасности SmartScreen в Windows 10 из-за некорректной установки флага в Mozilla Firefox и Thunderbird

Описание

В Windows 10 обновления April 2018, Windows Defender SmartScreen учитывает флаг "SEE_MASK_FLAG_NO_UI", связанный с загружаемыми файлами, и не показывает пользовательский интерфейс. Это приводит к тому, что файлы, которые неизвестны и потенциально опасны, могут быть запущены без запросов на действия от пользователя. Если пользователь находится в оффлайне, все файлы будут разрешены к открытию, поскольку Windows не спрашивает пользователя о действиях. Firefox некорректно устанавливает этот флаг при загрузке файлов, что ведет к менее безопасной работе SmartScreen.

Обратите внимание: данная проблема затрагивает только пользователей Windows 10, использующих обновление April 2018 или более поздние версии, и не касается других пользователей Windows или других операционных систем.

Затронутые версии ПО

  • Thunderbird < 52.8
  • Thunderbird ESR < 52.8
  • Firefox < 60
  • Firefox ESR < 52.8

Тип уязвимости

Подмена поведения SmartScreen

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одновременно

Одно из

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 52.8.0 (исключая)
cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 60.0 (исключая)
cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:*
Версия до 52.8.0 (исключая)
cpe:2.3:a:mozilla:thunderbird_esr:*:*:*:*:*:*:*:*
Версия до 52.8.0 (исключая)
cpe:2.3:o:microsoft:windows_10:-:*:*:*:*:*:*:*

EPSS

Процентиль: 67%
0.0054
Низкий

7.5 High

CVSS3

5 Medium

CVSS2

Дефекты

NVD-CWE-noinfo

Связанные уязвимости

ubuntu логотип

CVE-2018-5174

CVSS3: 7.5
ubuntu
больше 7 лет назад

In the Windows 10 April 2018 Update, Windows Defender SmartScreen honors the "SEE_MASK_FLAG_NO_UI" flag associated with downloaded files and will not show any UI. Files that are unknown and potentially dangerous will be allowed to run because SmartScreen will not prompt the user for a decision, and if the user is offline all files will be allowed to be opened because Windows won't prompt the user to ask what to do. Firefox incorrectly sets this flag when downloading files, leading to less secure behavior from SmartScreen. Note: this issue only affects Windows 10 users running the April 2018 update or later. It does not affect other Windows users or other operating systems. This vulnerability affects Thunderbird < 52.8, Thunderbird ESR < 52.8, Firefox < 60, and Firefox ESR < 52.8.

redhat логотип

CVE-2018-5174

CVSS3: 7.5
redhat
больше 7 лет назад

In the Windows 10 April 2018 Update, Windows Defender SmartScreen honors the "SEE_MASK_FLAG_NO_UI" flag associated with downloaded files and will not show any UI. Files that are unknown and potentially dangerous will be allowed to run because SmartScreen will not prompt the user for a decision, and if the user is offline all files will be allowed to be opened because Windows won't prompt the user to ask what to do. Firefox incorrectly sets this flag when downloading files, leading to less secure behavior from SmartScreen. Note: this issue only affects Windows 10 users running the April 2018 update or later. It does not affect other Windows users or other operating systems. This vulnerability affects Thunderbird < 52.8, Thunderbird ESR < 52.8, Firefox < 60, and Firefox ESR < 52.8.

debian логотип

CVE-2018-5174

CVSS3: 7.5
debian
больше 7 лет назад

In the Windows 10 April 2018 Update, Windows Defender SmartScreen hono ...

github логотип

GHSA-cx2r-fxw7-w76f

CVSS3: 7.5
github
больше 3 лет назад

In the Windows 10 April 2018 Update, Windows Defender SmartScreen honors the "SEE_MASK_FLAG_NO_UI" flag associated with downloaded files and will not show any UI. Files that are unknown and potentially dangerous will be allowed to run because SmartScreen will not prompt the user for a decision, and if the user is offline all files will be allowed to be opened because Windows won't prompt the user to ask what to do. Firefox incorrectly sets this flag when downloading files, leading to less secure behavior from SmartScreen. Note: this issue only affects Windows 10 users running the April 2018 update or later. It does not affect other Windows users or other operating systems. This vulnerability affects Thunderbird < 52.8, Thunderbird ESR < 52.8, Firefox < 60, and Firefox ESR < 52.8.

fstec логотип

BDU:2019-03514

CVSS3: 6.5
fstec
больше 7 лет назад

Уязвимость компонента baseURI браузеров Firefox ESR, Firefox и почтового клиента Thunderbird, позволяющая нарушителю оказать влияние на целостность защищаемой информации

EPSS

Процентиль: 67%
0.0054
Низкий

7.5 High

CVSS3

5 Medium

CVSS2

Дефекты

NVD-CWE-noinfo