|
Firefox tegnsæt-nedarvning cross-site scripting
|
|
|
|
|
Secunia Advisory:
|
SA27907
|
|
|
Udsendt:
|
2007-12-04
|
|
|
Kritisk:
|
Ikke kritisk
|
|
Betydning:
|
Cross Site Scripting
|
|
Hvor:
|
Fra Internet
|
|
Løsning Status:
|
Ikke Patchet
|
|
| Software: | Mozilla Firefox 2.0.x
|
|
|
This advisory is currently marked as unpatched!
- Companies can be alerted when a patch is released! |
|
|
Beskrivelse:
Paul Szabo har fundet et sikkerhedsproblem i Firefox, som kan udnyttes af ondsindede personer til at udføre cross-site scriptingangreb.
Problemet skyldes, at indlejrede rammer arver parent-rammens tegnsæt, når dette sættes manuelt. Dette kan udnyttes til at ekskevere vilkårlig HTML og scriptkode i en brugers browser-session associeret med et sårbart site, når indholdet af visse sites inkluderes via iframes i en ondsindet side.
Succesfuld udnyttelse forudsætter, at brugeren lokkes til at ændre tegnsættet til f.eks. UTF-7.
Sikkerhedsproblemet er bekræftet i Firefox 2.0.0.11, men andre versioner kan også være berørte.
Løsning:
Ændr ikke tegnsættet manuelt.
Besøg kun sites, der haves tillid til.
Rapporteret af / Kredit:
Paul Szabo
Original Advisory:
http://lists.grok.org.uk/pipermail/full-disclosure/2007-December/058752.html
|
|
|
|
|
Please note: The information that this Secunia Advisory is based on comes from a third party unless stated otherwise.
Secunia collects, validates, and verifies all vulnerability reports issued by security research groups, vendors, and others.
|
|
|
|
19 Relaterede Secunia Advisories, displaying 10
|
|
|
1. Mozilla Firefox "chrome:" katalogtraversering
|
|
2. Mozilla Firefox flere sårbarheder
|
|
3. Mozilla Firefox "jar:" cross-site scripting
|
|
4. Mozilla Firefox flere sårbarheder
|
|
5. Firefox "-chrome" parameter sikkerhedsproblem
|
|
6. Mozilla produkter addon chrome-loaded "about:blank" cross-context scripting
|
|
7. Mozilla Firefox flere sårbarheder
|
|
8. Firefox "wyciwyg://" URI-handler sårbarhed
|
|
9. Firefox "firefoxurl" URI-handler registrerings-sårbarhed
|
|
10. Firefox "OnKeyDown" hændelse fokus-svaghed
|
Vis alle relaterede advisories
|
|
|
Send Feedback to Secunia
|
|
Hvis du har ny information angående dette Secunia advisory eller et produkt i vores database, så send det venligst til os. Du kan sende det til os enten ved at bruge vores web formular eller ved at sende det til vuln@secunia.com.
Ideer, foreslag og andet feedback er også meget velkommen.
|
|
|
|
