FreeBSD:多个浏览器框架注入漏洞 (641859e8-eca1-11d8-b913-000c41e2cdad)

high Nessus 插件 ID 56476
全新!插件严重性现在使用 CVSS v3

计算的插件严重性默认已更新为使用 CVSS v3。没有 CVSS v3 分数的插件将回退到 CVSS v2 来计算严重性。可以在设置下拉列表中切换严重性显示首选项。

简介

远程 FreeBSD 主机缺少一个或多个与安全有关的更新。

描述

发现有一些错误会以相同方式影响许多 Web 浏览器。Secunia 公告报告:

问题在于浏览器不会检查目标框架是否属于具有恶意链接的网站,因此无法防止浏览器窗口在另一个窗口中加载使用指定框架的内容。

若成功利用此漏洞,将允许恶意网站在如受信任网站所拥有的另一个浏览器窗口中,加载使用任意框架的任意
内容。

KDE 安全公告报告:

恶意网站可滥用 Konqueror 并将其拥有的框架插入其他受信任网站的页面。因此,用户可能无意中将原本预期给受信任网站使用的机密信息发送到恶意网站。

Secunia 已在下列网址提供漏洞演示:http://secunia.com/multiple_browsers_frame_injection_vulnerability_tes t/。

解决方案

更新受影响的程序包。

另见

https://bugzilla.mozilla.org/show_bug.cgi?id=246448

http://www.nessus.org/u?a27f9fd0

http://www.nessus.org/u?9b160511

http://www.nessus.org/u?48e091a2

插件详情

严重性: High

ID: 56476

文件名: freebsd_pkg_641859e8eca111d8b913000c41e2cdad.nasl

版本: 1.7

类型: local

发布时间: 2011/10/13

最近更新时间: 2021/1/6

依存关系: ssh_get_info.nasl

风险信息

VPR

风险因素: Medium

分数: 5.5

CVSS v2

风险因素: High

基本分数: 7.5

矢量: AV:N/AC:L/Au:N/C:P/I:P/A:P

漏洞信息

CPE: p-cpe:/a:freebsd:freebsd:firefox, p-cpe:/a:freebsd:freebsd:kdebase, p-cpe:/a:freebsd:freebsd:kdelibs, p-cpe:/a:freebsd:freebsd:linux-mozilla, p-cpe:/a:freebsd:freebsd:linux-mozilla-devel, p-cpe:/a:freebsd:freebsd:linux-opera, p-cpe:/a:freebsd:freebsd:mozilla, p-cpe:/a:freebsd:freebsd:mozilla-gtk1, p-cpe:/a:freebsd:freebsd:netscape7, p-cpe:/a:freebsd:freebsd:opera, cpe:/o:freebsd:freebsd

必需的 KB 项: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

补丁发布日期: 2004/8/12

漏洞发布日期: 2004/8/11

参考资料信息

CVE: CVE-2004-0717, CVE-2004-0718, CVE-2004-0721

Secunia: 11978