Уязвимость некорректной обработки файлов .JNLP в Firefox, позволяющая запускать бинарные файлы
Описание
Файлы с расширением .JNLP, используемые для приложений Java web start, не рассматриваются как исполняемый контент при загрузке, несмотря на то, что они могут быть выполнены при установленной Java на локальной системе. Это может позволить пользователям по ошибке запустить двоичный файл локально.
Затронутые версии ПО
- Firefox версии ниже 67
Тип уязвимости
Запуск бинарного файла
Ссылки
- ExploitIssue TrackingVendor Advisory
- Vendor Advisory
- ExploitIssue TrackingVendor Advisory
- Vendor Advisory
Уязвимые конфигурации
EPSS
7.8 High
CVSS3
6.8 Medium
CVSS2
Дефекты
Связанные уязвимости
Files with the .JNLP extension used for "Java web start" applications are not treated as executable content for download prompts even though they can be executed if Java is installed on the local system. This could allow users to mistakenly launch an executable binary locally. This vulnerability affects Firefox < 67.
Files with the .JNLP extension used for "Java web start" applications ...
Files with the .JNLP extension used for "Java web start" applications are not treated as executable content for download prompts even though they can be executed if Java is installed on the local system. This could allow users to mistakenly launch an executable binary locally. This vulnerability affects Firefox < 67.
Уязвимость браузера Firefox, связанная с ошибками обработки исполняемого контента для приложений с расширением .JNLP, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
EPSS
7.8 High
CVSS3
6.8 Medium
CVSS2