Уязвимость обхода политики одного происхождения (Same Origin Policy) в Mozilla Firefox, Thunderbird и SeaMonkey из-за некорректной обработки имени "location" для фрейма
Описание
Уязвимость, обнаруженная в Mozilla Firefox, Thunderbird и SeaMonkey, связана с некорректной обработкой имени "location" для фрейма, что позволяет удалённым злоумышленникам обойти политику одного происхождения (Same Origin Policy) через специально созданный веб-сайт. Данная уязвимость отличается от CVE-2010-0170.
Затронутые версии ПО
- Mozilla Firefox до версии 3.6.23 и 4.x через 5
- Thunderbird до версии 6.0
- SeaMonkey до версии 2.3
Тип уязвимости
Обход политики одного происхождения (Same Origin Policy)
Идентификаторы
- Связанная проблема: CVE-2010-0170 (отличная уязвимость)
Затронутые пакеты
| Платформа | Пакет | Состояние | Рекомендация | Релиз |
|---|---|---|---|---|
| Red Hat Enterprise Linux Extended Update Support 5.7 | firefox | Affected | ||
| Red Hat Enterprise Linux Extended Update Support 5.7 | thunderbird | Affected | ||
| Red Hat Enterprise Linux Extended Update Support 6.1 | firefox | Affected | ||
| Red Hat Enterprise Linux Extended Update Support 6.1 | thunderbird | Affected | ||
| Red Hat Enterprise Linux 4 | firefox | Fixed | RHSA-2011:1341 | 28.09.2011 |
| Red Hat Enterprise Linux 4 | thunderbird | Fixed | RHSA-2011:1343 | 28.09.2011 |
| Red Hat Enterprise Linux 4 | seamonkey | Fixed | RHSA-2011:1344 | 28.09.2011 |
| Red Hat Enterprise Linux 5 | firefox | Fixed | RHSA-2011:1341 | 28.09.2011 |
| Red Hat Enterprise Linux 5 | xulrunner | Fixed | RHSA-2011:1341 | 28.09.2011 |
| Red Hat Enterprise Linux 5 | thunderbird | Fixed | RHSA-2011:1343 | 28.09.2011 |
Показывать по
Дополнительная информация
Статус:
6.8 Medium
CVSS2
Связанные уязвимости
Mozilla Firefox before 3.6.23 and 4.x through 5, Thunderbird before 6.0, and SeaMonkey before 2.3 do not properly handle "location" as the name of a frame, which allows remote attackers to bypass the Same Origin Policy via a crafted web site, a different vulnerability than CVE-2010-0170.
Mozilla Firefox before 3.6.23 and 4.x through 5, Thunderbird before 6.0, and SeaMonkey before 2.3 do not properly handle "location" as the name of a frame, which allows remote attackers to bypass the Same Origin Policy via a crafted web site, a different vulnerability than CVE-2010-0170.
Mozilla Firefox before 3.6.23 and 4.x through 5, Thunderbird before 6. ...
Mozilla Firefox before 3.6.23 and 4.x through 5, Thunderbird before 6.0, and SeaMonkey before 2.3 do not properly handle "location" as the name of a frame, which allows remote attackers to bypass the Same Origin Policy via a crafted web site, a different vulnerability than CVE-2010-0170.
6.8 Medium
CVSS2