|
Firefox Zeichensatz-Vererbung Cross-Site-Scripting Sicherheitsproblem
|
|
|
|
|
Secunia Advisory:
|
SA27907
|
|
|
Herausgegeben:
|
2007-12-04
|
|
|
Gefahrenstufe:
|
Nicht kritisch
|
|
Auswirkung:
|
Cross-Site-Scripting
|
|
Von Wo:
|
Aus dem Internet
|
|
Lösungsstatus:
|
Nicht gepatcht
|
|
| Software: | Mozilla Firefox 2.0.x
|
|
|
This advisory is currently marked as unpatched!
- Companies can be alerted when a patch is released! |
|
|
Beschreibung:
Paul Szabo hat ein Sicherheitsproblem in Firefox entdeckt, das böswillige Personen ausnutzen können, um Cross-Site-Scripting-Attacken durchzuführen.
Das Sicherheitsproblem besteht, da eingebettete iframes den Zeichensatz des übergeordneten Frames erben, wenn der Zeichensatz manuell gesetzt wird. Dies kann ausgenutzt werden, um im Kontext bestimmter Seiten, die über iframes in einer bösartigen Seite eingebunden werden, beliebigen HTML- und Scriptcode in der Browsersitzung eines Benutzers auszuführen.
Eine erfolgreiche Ausnutzung setzt voraus, dass das Opfer dazu gebracht wird, den Zeichensatz einer Seite z.B. auf UTF-7 zu ändern.
Das Sicherheitsproblem wurde in Firefox 2.0.0.11 bestätigt. Andere Versionen können ebenfalls betroffen sein.
Lösung:
Ändern Sie die Zeichensatzkodierung nicht manuell. Besuchen Sie nur vertrauenswürdige Seiten.
Gemeldet und/oder entdeckt von:
Paul Szabo
Original Advisory:
http://lists.grok.org.uk/pipermail/full-disclosure/2007-December/058752.html
|
|
|
|
|
Please note: The information that this Secunia Advisory is based on comes from a third party unless stated otherwise.
Secunia collects, validates, and verifies all vulnerability reports issued by security research groups, vendors, and others.
|
|
|
|
22 Related Secunia Security Advisories, displaying 10
|
|
|
1. Mozilla Firefox Javascript Garbage-Collector Sicherheitslücke
|
|
2. Mozilla Firefox Mehrere Sicherheitslücken
|
|
3. Mozilla Firefox Mehrere Sicherheitslücken
|
|
4. Mozilla Firefox "chrome:" Directory-Traversal Sicherheitsproblem
|
|
5. Mozilla Firefox Mehrere Sicherheitslücken
|
|
6. Mozilla Firefox "jar:" Protokollverarbeitung Cross-Site-Scripting Sicherheitsproblem
|
|
7. Mozilla Firefox Mehrere Sicherheitslücken
|
|
8. Firefox "-chrome" Parameter Sicherheitsproblem
|
|
9. Mozilla Produkte Addon "about:blank" Cross-Context-Scripting
|
|
10. Mozilla Firefox Mehrere Sicherheitslücken
|
Show all related advisories
|
|
|
Send Feedback to Secunia
|
|
If you have new information regarding this Secunia advisory or a product in our database, please send it to us using either our web form or email us at vuln@secunia.com.
Ideas, suggestions, and other feedback are most welcome.
|
|
|
|
