Mozilla Firefox和Firefox ESR重定向漏洞

CVE编号

CVE-2018-12381

利用情况

暂无

补丁情况

官方补丁

披露时间

2018-10-19

漏洞描述

Mozilla Firefox和Firefox ESR都是美国Mozilla基金会开发的浏览器产品。Firefox是一款开源Web浏览器；Firefox ESR是Firefox的一个延长支持版本。基于Windows平台的Mozilla Firefox ESR 60.2之前版本和Firefox 62之前版本中存在安全漏洞，该漏洞源于当Windows上的Outlook邮件栏被错误地解释成URL时，手动拖放邮件消息到浏览器中会触发页面导航。远程攻击者可利用该漏洞重定向用户至恶意网站。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://www.mozilla.org/en-US/security/advisories/mfsa2018-20/

参考链接
http://www.securityfocus.com/bid/105280
http://www.securitytracker.com/id/1041610
https://bugzilla.mozilla.org/show_bug.cgi?id=1435319
https://security.gentoo.org/glsa/201810-01
https://www.mozilla.org/security/advisories/mfsa2018-20/
https://www.mozilla.org/security/advisories/mfsa2018-21/

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	mozilla	firefox	*		Up to (excluding) 62.0
	运行在以下环境
	应用	mozilla	firefox_esr	*		Up to (excluding) 60.2.0
	运行在以下环境
	系统	suse_12_SP3	libfreebl3	*		Up to (excluding) 3.36.4-58.15.3
	运行在以下环境
	系统	suse_12_SP3	libfreebl3-32bit	*		Up to (excluding) 3.36.4-58.15.3
	运行在以下环境
	系统	suse_12_SP3	libsoftokn3	*		Up to (excluding) 3.36.4-58.15.3
	运行在以下环境
	系统	suse_12_SP3	libsoftokn3-32bit	*		Up to (excluding) 3.36.4-58.15.3
	运行在以下环境
	系统	suse_12_SP3	mozilla-nspr	*		Up to (excluding) 3.36.4-58.15.3
	运行在以下环境
	系统	suse_12_SP3	mozilla-nspr-32bit	*		Up to (excluding) 3.36.4-58.15.3
	运行在以下环境
	系统	suse_12_SP3	mozilla-nss	*		Up to (excluding) 3.36.4-58.15.3
	运行在以下环境
	系统	suse_12_SP3	mozilla-nss-32bit	*		Up to (excluding) 3.36.4-58.15.3
	运行在以下环境
	系统	suse_12_SP3	mozilla-nss-certs	*		Up to (excluding) 3.36.4-58.15.3
	运行在以下环境
	系统	suse_12_SP3	mozilla-nss-certs-32bit	*		Up to (excluding) 3.36.4-58.15.3
	运行在以下环境
	系统	suse_12_SP3	mozilla-nss-sysinit	*		Up to (excluding) 3.36.4-58.15.3
	运行在以下环境
	系统	suse_12_SP3	mozilla-nss-sysinit-32bit	*		Up to (excluding) 3.36.4-58.15.3
	运行在以下环境
	系统	suse_12_SP3	mozilla-nss-tools	*		Up to (excluding) 3.36.4-58.15.3
	运行在以下环境
	系统	suse_12_SP3	MozillaFirefox	*		Up to (excluding) 3.36.4-58.15.3
	运行在以下环境
	系统	suse_12_SP3	MozillaFirefox-branding-SLE	*		Up to (excluding) 3.36.4-58.15.3
	运行在以下环境
	系统	suse_12_SP3	MozillaFirefox-translations-common	*		Up to (excluding) 3.36.4-58.15.3
	运行在以下环境
	系统	suse_12_SP4	libfreebl3	*		Up to (excluding) 3.36.4-58.15.3
	运行在以下环境
	系统	suse_12_SP4	libfreebl3-32bit	*		Up to (excluding) 3.36.4-58.15.3
	运行在以下环境
	系统	suse_12_SP4	libsoftokn3	*		Up to (excluding) 3.36.4-58.15.3
	运行在以下环境
	系统	suse_12_SP4	libsoftokn3-32bit	*		Up to (excluding) 3.36.4-58.15.3
	运行在以下环境
	系统	suse_12_SP4	mozilla-nspr	*		Up to (excluding) 3.36.4-58.15.3
	运行在以下环境
	系统	suse_12_SP4	mozilla-nspr-32bit	*		Up to (excluding) 3.36.4-58.15.3
	运行在以下环境
	系统	suse_12_SP4	mozilla-nss	*		Up to (excluding) 3.36.4-58.15.3
	运行在以下环境
	系统	suse_12_SP4	mozilla-nss-32bit	*		Up to (excluding) 3.36.4-58.15.3
	运行在以下环境
	系统	suse_12_SP4	mozilla-nss-certs	*		Up to (excluding) 3.36.4-58.15.3
	运行在以下环境
	系统	suse_12_SP4	mozilla-nss-certs-32bit	*		Up to (excluding) 3.36.4-58.15.3
	运行在以下环境
	系统	suse_12_SP4	mozilla-nss-sysinit	*		Up to (excluding) 3.36.4-58.15.3
	运行在以下环境
	系统	suse_12_SP4	mozilla-nss-sysinit-32bit	*		Up to (excluding) 3.36.4-58.15.3
	运行在以下环境
	系统	suse_12_SP4	mozilla-nss-tools	*		Up to (excluding) 3.36.4-58.15.3
	运行在以下环境
系统	suse_12_SP4	MozillaFirefox	*		Up to (excluding) 3.36.4-58.15.3
运行在以下环境
系统	suse_12_SP4	MozillaFirefox-branding-SLE	*		Up to (excluding) 3.36.4-58.15.3
运行在以下环境
系统	suse_12_SP4	MozillaFirefox-translations-common	*		Up to (excluding) 3.36.4-58.15.3

攻击路径本地
攻击复杂度困难
权限要求普通权限
影响范围有限影响
EXP成熟度未验证
补丁情况官方补丁
数据保密性无影响
数据完整性无影响
服务器危害无影响
全网数量 -

CWE-ID 漏洞类型 CWE-610 资源在另一范围的外部可控制索引

正文

Mozilla Firefox和Firefox ESR重定向漏洞

漏洞描述

解决建议

参考链接

受影响软件情况

相关阅读

IBM Tivoli Federated Identity Manager up to 6.2.2 FP15 跨站脚本攻击

IBM WebSphere MQ Light拒绝服务漏洞

IBM Security Network Protection GSKit信息泄露漏洞

IBM WebSphere Commerce 至 8.0.0.0 空指针解引用

发表评论取消回复

还没有评论，来说两句吧...

目录[+]