Уязвимость утечки информации через атаку побочного канала на текст в всплывающих подсказках автозаполнения в браузере Firefox
Описание
Текст, отображаемый во всплывающих подсказках автозаполнения, не может быть напрямую прочитан JavaScript, однако он отображается с использованием шрифтов страницы. Злоумышленник способен провести атаку побочного канала, используя специально созданные шрифты, чтобы извлечь этот текст веб-страницей.
Затронутые версии ПО
- Firefox до версии 98
Тип уязвимости
Утечка информации
Ссылки
- ExploitIssue TrackingVendor Advisory
- Vendor Advisory
- ExploitIssue TrackingVendor Advisory
- Vendor Advisory
Уязвимые конфигурации
EPSS
4.3 Medium
CVSS3
Дефекты
Связанные уязвимости
While the text displayed in Autofill tooltips cannot be directly read by JavaScript, the text was rendered using page fonts. Side-channel attacks on the text by using specially crafted fonts could have lead to this text being inferred by the webpage. This vulnerability affects Firefox < 98.
While the text displayed in Autofill tooltips cannot be directly read ...
While the text displayed in Autofill tooltips cannot be directly read by JavaScript, the text was rendered using page fonts. Side-channel attacks on the text by using specially crafted fonts could have lead to this text being inferred by the webpage. This vulnerability affects Firefox < 98.
Уязвимость браузера Mozilla Firefox, связанная с отсутствием защиты служебных данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
EPSS
4.3 Medium
CVSS3