Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2020-6812

Опубликовано: 25 мар. 2020
Источник: nvd
CVSS3: 5.3
CVSS2: 5
EPSS Низкий

Уязвимость раскрытия имени пользователя через перечисление названий устройств с доступом к камере или микрофону в Thunderbird и Firefox

Описание

При первом подключении AirPods к iPhone они автоматически получают имя пользователя (например, "AirPods Джейн Доу"). Веб-сайты, имеющие разрешение на доступ к камере или микрофону, способны перечислять названия устройств, раскрывая имя пользователя. Чтобы решить эту проблему, Firefox добавил специальное условие, которое переименовывает устройства, содержащие подстроку "AirPods", просто в "AirPods".

Затронутые версии ПО

  • Thunderbird версий до 68.6
  • Firefox версий до 74
  • Firefox ESR версий до 68.6
  • Firefox ESR < 68.6

Тип уязвимости

Утечка информации

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 74.0 (исключая)
cpe:2.3:a:mozilla:firefox_esr:*:*:*:*:*:*:*:*
Версия до 68.6.0 (исключая)
cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:*
Версия до 68.6.0 (исключая)
Конфигурация 2

Одно из

cpe:2.3:o:canonical:ubuntu_linux:16.04:*:*:*:esm:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:18.04:*:*:*:lts:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:19.10:*:*:*:*:*:*:*

EPSS

Процентиль: 69%
0.00618
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2

Дефекты

CWE-200

Связанные уязвимости

CVSS3: 5.3
ubuntu
больше 5 лет назад

The first time AirPods are connected to an iPhone, they become named after the user's name by default (e.g. Jane Doe's AirPods.) Websites with camera or microphone permission are able to enumerate device names, disclosing the user's name. To resolve this issue, Firefox added a special case that renames devices containing the substring 'AirPods' to simply 'AirPods'. This vulnerability affects Thunderbird < 68.6, Firefox < 74, Firefox < ESR68.6, and Firefox ESR < 68.6.

CVSS3: 6.1
redhat
больше 5 лет назад

The first time AirPods are connected to an iPhone, they become named after the user's name by default (e.g. Jane Doe's AirPods.) Websites with camera or microphone permission are able to enumerate device names, disclosing the user's name. To resolve this issue, Firefox added a special case that renames devices containing the substring 'AirPods' to simply 'AirPods'. This vulnerability affects Thunderbird < 68.6, Firefox < 74, Firefox < ESR68.6, and Firefox ESR < 68.6.

CVSS3: 5.3
debian
больше 5 лет назад

The first time AirPods are connected to an iPhone, they become named a ...

CVSS3: 5.3
github
около 3 лет назад

The first time AirPods are connected to an iPhone, they become named after the user's name by default (e.g. Jane Doe's AirPods.) Websites with camera or microphone permission are able to enumerate device names, disclosing the user's name. To resolve this issue, Firefox added a special case that renames devices containing the substring 'AirPods' to simply 'AirPods'. This vulnerability affects Thunderbird < 68.6, Firefox < 74, Firefox < ESR68.6, and Firefox ESR < 68.6.

suse-cvrf
больше 5 лет назад

Security update for MozillaThunderbird

EPSS

Процентиль: 69%
0.00618
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2

Дефекты

CWE-200