FreeBSD:多个浏览器框架注入漏洞 (641859e8-eca1-11d8-b913-000c41e2cdad)
high Nessus 插件 ID 56476
语言:
简介
远程 FreeBSD 主机缺少一个或多个与安全有关的更新。描述
发现有一些错误会以相同方式影响许多 Web 浏览器。Secunia 公告报告:问题在于浏览器不会检查目标框架是否属于具有恶意链接的网站,因此无法防止浏览器窗口在另一个窗口中加载使用指定框架的内容。
若成功利用此漏洞,将允许恶意网站在如受信任网站所拥有的另一个浏览器窗口中,加载使用任意框架的任意
内容。
KDE 安全公告报告:
恶意网站可滥用 Konqueror 并将其拥有的框架插入其他受信任网站的页面。因此,用户可能无意中将原本预期给受信任网站使用的机密信息发送到恶意网站。
Secunia 已在下列网址提供漏洞演示:http://secunia.com/multiple_browsers_frame_injection_vulnerability_tes t/。
解决方案
更新受影响的程序包。另见
https://bugzilla.mozilla.org/show_bug.cgi?id=246448
http://www.nessus.org/u?a27f9fd0
插件详情
严重性: High
ID: 56476
文件名: freebsd_pkg_641859e8eca111d8b913000c41e2cdad.nasl
版本: 1.7
类型: local
发布时间: 2011/10/13
最近更新时间: 2021/1/6
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 5.5
CVSS v2
风险因素: High
基本分数: 7.5
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
漏洞信息
CPE: p-cpe:/a:freebsd:freebsd:firefox, p-cpe:/a:freebsd:freebsd:kdebase, p-cpe:/a:freebsd:freebsd:kdelibs, p-cpe:/a:freebsd:freebsd:linux-mozilla, p-cpe:/a:freebsd:freebsd:linux-mozilla-devel, p-cpe:/a:freebsd:freebsd:linux-opera, p-cpe:/a:freebsd:freebsd:mozilla, p-cpe:/a:freebsd:freebsd:mozilla-gtk1, p-cpe:/a:freebsd:freebsd:netscape7, p-cpe:/a:freebsd:freebsd:opera, cpe:/o:freebsd:freebsd
必需的 KB 项: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info
补丁发布日期: 2004/8/12
漏洞发布日期: 2004/8/11
参考资料信息
CVE: CVE-2004-0717, CVE-2004-0718, CVE-2004-0721
Secunia: 11978