Оффлайн
- Регистрация
- 9 Май 2015
- Сообщения
- 1,480
- Баллы
- 155
Эксплуатация уязвимости была возможна после внедрения вредоносного кода на случайный сайт, и затем злоумышленник получал возможность похищать учетные данные и перенаправлять пользователей на фишинговые страницы.
Уязвимость в Mozilla Firefox обнаружил эксперт Positive Technologies Даниил Сатяев. Проблема получила идентификатор () и набрала 6,1 балла по шкале CVSS 4.0.
Ошибка затрагивала все версии Firefox ниже 140.0, а также корпоративный Firefox ESR младше 128.12. В настоящее время патчи выпущены и для , и для .
Кроме того, по информации разработчиков, проблеме также были подвержены две линейки почтовой программы Thunderbird: уязвимости содержались в версиях ниже 140 и 128.12. Для обеих тоже выпущены .
Исследователь объясняет, что используя в Firefox, наряду с проблемой межсайтового скриптинга (XSS), злоумышленник потенциально мог:
- получить доступ к внутренним сервисам организации, например к документообороту и системе для управления взаимодействием с клиентами (CRM), а затем — к коммерческой тайне и финансовым данным;
- скомпрометировать учетные данные пользователей, в том числе администраторов корпоративной сети, и нарушить бизнес-процессы организации;
- перенаправлять пользователей на фишинговые страницы для похищения учетных данных.
Пользователям рекомендуется как можно скорее обновить Firefox до версии не ниже 140.0 и Firefox ESR — до версии не ниже 128.12. Если установить актуальную версию браузера невозможно, эксперты советуют применять средства очистки пользовательского ввода, например библиотеку DOMPurify.