Websecurity - Веб безпека

09.03.2007

Виявлена можливість доступу між доменами в Mozilla Firefox (cross domain access).

Уразливі версії: Firefox 2.0.

Використовуючи location.hostname=’evil.com\x00foo.example.com’ зловмисник може домогтися, щоб запит для foo.example.com пішов на evil.com, що дозволяє виконати доступ між доменами. Уразливість може бути використана для прихованого встановлення шкідливого коду.

• Firefox does not prompt users before saving bookmarklets (деталі)
• Mozilla Firefox mmight allow remote attackers to condut spoofing and phishing attacks (деталі)
• Mozilla based browsers allows remote attackers to bypass the same origin policy (деталі)

12.03.2007

Додаткова інформація:

• Mozilla Foundation Security Advisory 2007-07 (деталі)
• Firefox bookmark cross-domain surfing vulnerability (деталі)
• Firefox: about:blank is phisher’s best friend (деталі)
• Re: [Full-disclosure] Firefox: serious cookie stealing / same-domain bypass vulnerability (деталі)
• Firefox: serious cookie stealing / same-domain bypass vulnerability (деталі)

Про експлоіт для данної уразливості я розповім окремо.

This entry was posted on 16:44 12.03.2007 and is filed under Новини, Помилки. You can follow any responses to this entry through the RSS 2.0 feed.