FreeBSD:多個瀏覽器框架插入弱點 (641859e8-eca1-11d8-b913-000c41e2cdad)

high Nessus Plugin ID 56476
新推出!Plugin 嚴重性目前使用 CVSS v3

計算 Plugin 嚴重性已更新為預設使用 CVSS v3 沒有 CVSS v3 評分的 Plugin 會回歸到以 CVSS v2 計算嚴重性。您可在設定下拉式選單中切換顯示嚴重性的喜好設定

Synopsis

遠端 FreeBSD 主機缺少一個或多個安全性相關更新。

描述

發現有一些錯誤會以相同方式影響許多網頁瀏覽器。Secunia 公告報告:

問題在於瀏覽器不會檢查目標框架是否屬於具有惡意連結的網站,因此無法防止瀏覽器視窗在另一個視窗中載入使用具名框架的內容。

若成功惡意利用此弱點,將允許惡意網站在如受信任網站所擁有的另一個視窗中,載入使用任意框架的任意
內容。

KDE 安全性公告報告:

惡意網站可濫用 Konqueror 並將其擁有的框架插入其他受信任網站的頁面。因此,使用者可能在不知情的情況下,將原本預定給受信任網站使用的機密資訊傳送到惡意網站。

Secunia 已在下列網址提供弱點示範 http://secunia.com/multiple_browsers_frame_injection_vulnerability_test/。

解決方案

更新受影響的套件。

另請參閱

https://bugzilla.mozilla.org/show_bug.cgi?id=246448

http://www.nessus.org/u?a27f9fd0

http://www.nessus.org/u?9b160511

http://www.nessus.org/u?48e091a2

Plugin 詳細資訊

嚴重性: High

ID: 56476

檔案名稱: freebsd_pkg_641859e8eca111d8b913000c41e2cdad.nasl

版本: 1.7

類型: local

已發布: 2011/10/13

已更新: 2021/1/6

相依性: ssh_get_info.nasl

風險資訊

VPR

風險因素: Medium

分數: 5.5

CVSS v2

風險因素: High

基本分數: 7.5

媒介: AV:N/AC:L/Au:N/C:P/I:P/A:P

弱點資訊

CPE: p-cpe:/a:freebsd:freebsd:firefox, p-cpe:/a:freebsd:freebsd:kdebase, p-cpe:/a:freebsd:freebsd:kdelibs, p-cpe:/a:freebsd:freebsd:linux-mozilla, p-cpe:/a:freebsd:freebsd:linux-mozilla-devel, p-cpe:/a:freebsd:freebsd:linux-opera, p-cpe:/a:freebsd:freebsd:mozilla, p-cpe:/a:freebsd:freebsd:mozilla-gtk1, p-cpe:/a:freebsd:freebsd:netscape7, p-cpe:/a:freebsd:freebsd:opera, cpe:/o:freebsd:freebsd

必要的 KB 項目: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

修補程式發佈日期: 2004/8/12

弱點發布日期: 2004/8/11

參考資訊

CVE: CVE-2004-0717, CVE-2004-0718, CVE-2004-0721

Secunia: 11978