Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

redhat логотип

CVE-2010-1213

Опубликовано: 20 июл. 2010
Источник: redhat
CVSS2: 5.1

Уязвимость обхода политики одного происхождения (Same Origin Policy) в методе importScripts Web Worker в Mozilla Firefox, Thunderbird и SeaMonkey из-за отсутствия проверки корректности JavaScript-кода

Описание

Обнаружена уязвимость в методе importScripts Web Worker в Mozilla Firefox, Thunderbird и SeaMonkey. Метод не проверяет, является ли содержимое корректным JavaScript-кодом, что позволяет удалённым злоумышленникам обойти политику одного происхождения (Same Origin Policy) и получить доступ к чувствительной информации через специально созданный HTML-документ.

Затронутые версии ПО

  • Mozilla Firefox 3.5.x до версии 3.5.11
  • Mozilla Firefox 3.6.x до версии 3.6.7
  • Thunderbird 3.0.x до версии 3.0.6
  • Thunderbird 3.1.x до версии 3.1.1
  • SeaMonkey до версии 2.0.6

Тип уязвимости

  • Обход политики одного происхождения (Same Origin Policy)
  • Получение чувствительной информации

Затронутые пакеты

ПлатформаПакетСостояниеРекомендацияРелиз
Red Hat Enterprise Linux 6firefoxAffected
Red Hat Enterprise Linux Extended Update Support 4.8firefoxAffected
Red Hat Enterprise Linux Extended Update Support 5.5firefoxAffected
Red Hat Enterprise Linux 4firefoxFixedRHSA-2010:054721.07.2010
Red Hat Enterprise Linux 5firefoxFixedRHSA-2010:054721.07.2010
Red Hat Enterprise Linux 5xulrunnerFixedRHSA-2010:054721.07.2010

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Moderate
https://bugzilla.redhat.com/show_bug.cgi?id=615471Mozilla Cross-origin data disclosure via Web Workers and importScripts

5.1 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2010-1213

ubuntu
почти 15 лет назад

The importScripts Web Worker method in Mozilla Firefox 3.5.x before 3.5.11 and 3.6.x before 3.6.7, Thunderbird 3.0.x before 3.0.6 and 3.1.x before 3.1.1, and SeaMonkey before 2.0.6 does not verify that content is valid JavaScript code, which allows remote attackers to bypass the Same Origin Policy and obtain sensitive information via a crafted HTML document.

nvd логотип

CVE-2010-1213

nvd
почти 15 лет назад

The importScripts Web Worker method in Mozilla Firefox 3.5.x before 3.5.11 and 3.6.x before 3.6.7, Thunderbird 3.0.x before 3.0.6 and 3.1.x before 3.1.1, and SeaMonkey before 2.0.6 does not verify that content is valid JavaScript code, which allows remote attackers to bypass the Same Origin Policy and obtain sensitive information via a crafted HTML document.

debian логотип

CVE-2010-1213

debian
почти 15 лет назад

The importScripts Web Worker method in Mozilla Firefox 3.5.x before 3. ...

github логотип

GHSA-m896-jx8r-g62c

github
около 3 лет назад

The importScripts Web Worker method in Mozilla Firefox 3.5.x before 3.5.11 and 3.6.x before 3.6.7, Thunderbird 3.0.x before 3.0.6 and 3.1.x before 3.1.1, and SeaMonkey before 2.0.6 does not verify that content is valid JavaScript code, which allows remote attackers to bypass the Same Origin Policy and obtain sensitive information via a crafted HTML document.

oracle-oval логотип

ELSA-2010-0547

oracle-oval
почти 15 лет назад

ELSA-2010-0547: firefox security update (CRITICAL)

5.1 Medium

CVSS2