FreeBSD:多個瀏覽器框架插入弱點 (641859e8-eca1-11d8-b913-000c41e2cdad)
high Nessus Plugin ID 56476
語系:
概要
遠端 FreeBSD 主機缺少一個或多個安全性相關更新。說明
發現有一些錯誤會以相同方式影響許多網頁瀏覽器。Secunia 公告報告:問題在於瀏覽器不會檢查目標框架是否屬於具有惡意連結的網站,因此無法防止瀏覽器視窗在另一個視窗中載入使用具名框架的內容。
若成功惡意利用此弱點,將允許惡意網站在如受信任網站所擁有的另一個視窗中,載入使用任意框架的任意
內容。
KDE 安全性公告報告:
惡意網站可濫用 Konqueror 並將其擁有的框架插入其他受信任網站的頁面。因此,使用者可能在不知情的情況下,將原本預定給受信任網站使用的機密資訊傳送到惡意網站。
Secunia 已在下列網址提供弱點示範 http://secunia.com/multiple_browsers_frame_injection_vulnerability_test/。
解決方案
更新受影響的套件。另請參閱
https://bugzilla.mozilla.org/show_bug.cgi?id=246448
http://www.nessus.org/u?a27f9fd0
Plugin 詳細資訊
嚴重性: High
ID: 56476
檔案名稱: freebsd_pkg_641859e8eca111d8b913000c41e2cdad.nasl
版本: 1.7
類型: local
已發布: 2011/10/13
已更新: 2021/1/6
支援的感應器: Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.5
CVSS v2
風險因素: High
基本分數: 7.5
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
弱點資訊
CPE: p-cpe:/a:freebsd:freebsd:firefox, p-cpe:/a:freebsd:freebsd:kdebase, p-cpe:/a:freebsd:freebsd:kdelibs, p-cpe:/a:freebsd:freebsd:linux-mozilla, p-cpe:/a:freebsd:freebsd:linux-mozilla-devel, p-cpe:/a:freebsd:freebsd:linux-opera, p-cpe:/a:freebsd:freebsd:mozilla, p-cpe:/a:freebsd:freebsd:mozilla-gtk1, p-cpe:/a:freebsd:freebsd:netscape7, p-cpe:/a:freebsd:freebsd:opera, cpe:/o:freebsd:freebsd
必要的 KB 項目: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info
修補程式發佈日期: 2004/8/12
弱點發布日期: 2004/8/11
參考資訊
CVE: CVE-2004-0717, CVE-2004-0718, CVE-2004-0721
Secunia: 11978