Уязвимость утечки информации о наличии или длине кросс-доменных медиафайлов в Firefox ESR, Thunderbird и Firefox с использованием Service Workers
Описание
В Firefox ESR, Thunderbird и Firefox существует уязвимость, связанная с утечкой информации. Service Workers способны определять наличие или длину кросс-доменных медиафайлов через временные данные, комбинируя их с Range-запросами. Это позволяет им получать информацию о кросс-доменных ответах, которая должна оставаться непрозрачной (opaque).
Затронутые версии ПО
- Firefox ESR версии ниже 102.5
- Thunderbird версии ниже 102.5
- Firefox версии ниже 107
Тип уязвимости
Утечка информации
Ссылки
- Issue TrackingPermissions Required
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Issue TrackingPermissions Required
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
Уязвимые конфигурации
Одно из
EPSS
6.5 Medium
CVSS3
Дефекты
Связанные уязвимости
Service Workers should not be able to infer information about opaque cross-origin responses; but timing information for cross-origin media combined with Range requests might have allowed them to determine the presence or length of a media file. This vulnerability affects Firefox ESR < 102.5, Thunderbird < 102.5, and Firefox < 107.
Service Workers should not be able to infer information about opaque cross-origin responses; but timing information for cross-origin media combined with Range requests might have allowed them to determine the presence or length of a media file. This vulnerability affects Firefox ESR < 102.5, Thunderbird < 102.5, and Firefox < 107.
Service Workers should not be able to infer information about opaque c ...
Service Workers should not be able to infer information about opaque cross-origin responses; but timing information for cross-origin media combined with Range requests might have allowed them to determine the presence or length of a media file. This vulnerability affects Firefox ESR < 102.5, Thunderbird < 102.5, and Firefox < 107.
Уязвимость службы Service Workers браузеров Firefox, Firefox ESR и почтового клиента Thunderbird, позволяющая нарушителю получить информацию о наличии или длине медиафайла
EPSS
6.5 Medium
CVSS3