scip AG

• Firma
• News
• Dienstleistungen
• Publikationen

VulDB: Mozilla 1.2 bis 1.6 Event Handler Cross Site Scripting

Allgemein

scipID: 532
Betroffen: Mozilla 1.2 bis 1.6
Veröffentlicht: 25.02.2004 (Andreas Sandblad)
Risiko: kritisch

Beschreibung

Das Mozilla-Projekt versucht einen open-source Webbrowser zur Verfügung zu stellen. Der Mozilla Webbrowser erlangte seit der Veröffentlichung der ersten offiziellen Versionen immer mehr Akzeptanz, kann jedoch in Punkto Marktanteile mit den anderen Grössen des Genres noch nicht mithalten. Andreas Sandblad veröffentlichte schon Anfang Dezember 2003 auf der Projekt-internen Mailingliste security@mozilla.org eine Cross Site Scripting-Schwachstelle im Browser. Durch einen speziellen Event-Handler in einem JavaScript-Code sieht sich ein Angreifer in der Lage, aktive Inhalte während des Ladens einer neuen Webseite im Kontext dieser auszuführen. Das Problem wurde durch eine neue Software-Version behoben.

Obschon Secunia den Fehler als weniger kritisch eingestuft hat, ist er sehr interessant. So wäre es durchaus möglich, durch die Kombination von Weiterleitungs-Mechanismen spezifischen Cookie-Klau zu betreiben. Entsprechend darf die Schwachstelle nicht verharmlost werden.

Exploiting

Klasse: Cross Site Scripting
Lokal: Ja
Remote: Ja

Exploit: http://bugzilla.mozilla.org/show_bug.cgi?id=227417
Milw0rm: –
Nessus: –
ATK: –

Gegenmassnahmen

Status: Es ist eine aktualisierte Software-Version verfügbar.
Bestätigung: http://bugzilla.mozilla.org/show_bug.cgi?id=227417

Massnahme: Ein Upgrade auf die aktuellste Software-Version durchführen.
Link: http://bugzilla.mozilla.org/show_bug.cgi?id=227417

Snort: –
Pattern: –

Quellen

Advisory: http://bugzilla.mozilla.org/show_bug.cgi?id=227417

CVE: CVE-2004-0191
OSVDB: 4062
Securityfocus: 9747
Secunia: 10980
X-Force: 15322
Securitytracker: –
VUPEN: –
Securiteam: http://www.securiteam.com/securitynews/5IP0M1PC0K.html

Tecchannel: –
Heise: –
smSS: –
Andere: http://www.securityfocus.com/archive/1/355233
Andere: http://www.securityfocus.com/advisories/6461
Buchtipp: George Kurtz, Stuart McClure und Joel Scambray (2002), Das Anti-Hacker-Buch, mitp, ISBN 3826608453 (amazon.de)

Übersicht Schwachstellen

• Letzte Einträge
  • Cisco IOS TCP Connection Handling Denial of Service
  • Adobe ColdFusion Directory Traversal Schwachstelle
  • Microsoft Windows Tracing Feature for Services Privilege Escalation
  • Microsoft Windows MPEG Layer-3 Audio Decoder Pufferüberlauf
  • Microsoft Windows SMB Server verschiedene Schwachstellen
• Statistiken
  • Übersicht
  • Produkte
  • Reference Maps
• Archiv
  • 2010
  • 2009
  • 2008
  • 2007
  • 2006
  • 2005
  • 2004
  • 2003
• Syndication
  • Alert System
  • RSS
  • Twitter