Уязвимость модификации файлов дополнений в Mozilla Firefox и Thunderbird после проверки подписи
Описание
В процессе установки дополнения в Mozilla Firefox сначала происходит проверка подписи, а затем происходит запрос подтверждения от пользователя. Однако, пока пользователь подтверждает запрос, файл дополнения может быть изменён, и Firefox не заметит этого.
Затронутые версии ПО
- Mozilla Firefox версий ниже 98
- Mozilla Firefox ESR версий ниже 91.7
- Thunderbird версий ниже 91.7
Тип уязвимости
Модификация файлов
Ссылки
- ExploitIssue TrackingVendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- ExploitIssue TrackingVendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
Уязвимые конфигурации
Одно из
EPSS
7.5 High
CVSS3
Дефекты
Связанные уязвимости
When installing an add-on, Firefox verified the signature before prompting the user; but while the user was confirming the prompt, the underlying add-on file could have been modified and Firefox would not have noticed. This vulnerability affects Firefox < 98, Firefox ESR < 91.7, and Thunderbird < 91.7.
When installing an add-on, Firefox verified the signature before prompting the user; but while the user was confirming the prompt, the underlying add-on file could have been modified and Firefox would not have noticed. This vulnerability affects Firefox < 98, Firefox ESR < 91.7, and Thunderbird < 91.7.
When installing an add-on, Firefox verified the signature before promp ...
When installing an add-on, Firefox verified the signature before prompting the user; but while the user was confirming the prompt, the underlying add-on file could have been modified and Firefox would not have noticed. This vulnerability affects Firefox < 98, Firefox ESR < 91.7, and Thunderbird < 91.7.
Уязвимость браузера Mozilla Firefox, связанная с состоянием гонки при проверке подписей, позволяющая нарушителю выполнить спуфинговую атаку
EPSS
7.5 High
CVSS3