Когда внутреннее окно повторно используется, оно не учитывает использование document.domain для защиты от междоменных запросов. Если страни…
Когда внутреннее окно повторно используется, оно не учитывает использование document.domain для защиты от междоменных запросов. Если страницы в разных поддоменах когда-либо совместно используют document.domain, то любая страница может злоупотребить этим, чтобы внедрить скрипт в произвольные страницы в другом поддомене, даже в те, которые не использовали document.domain для ослабления своей безопасности происхождения. Эта уязвимость затрагивает Firefox ESR < 60.8, Firefox < 68 и Thunderbird < 60.8.
Продукт сохраняет, передаёт или предоставляет ресурс, содержащий конфиденциальную информацию, однако не удаляет её должным образом до того, как делает ресурс доступным для неавторизованных субъектов.
https://cwe.mitre.org/data/definitions/212.html →Открыть в коллекции CWE →Злоумышленник эксплуатирует функциональность альтернативных потоков данных (ADS) Microsoft NTFS для подрыва безопасности системы. ADS позволяют хранить несколько «файлов» в одной записи каталога, на которые ссылаются в формате имя_файла:имя_потока. Один или несколько альтернативных потоков данных могут храниться в любом файле или каталоге. Стандартные утилиты Microsoft не отображают наличие потока ADS, присоединённого к файлу. Дополнительное пространство для ADS не учитывается в отображаемом размере файла. Дополнительное пространство для ADS включается в занятое пространство тома. Поток ADS может быть файлом любого типа. Потоки ADS копируются стандартными утилитами Microsoft между томами NTFS. Злоумышленник или нарушитель может использовать ADS для сокрытия инструментов, сценариев и данных от обнаружения стандартными системными утилитами. Многие антивирусные программы не проверяют потоки ADS и не сканируют их. В Windows Vista в командной строке DIR есть ключ (-R), отображающий альтернативные потоки.
https://capec.mitre.org/data/definitions/168.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| firefox | Отслеживается | |
| firefox | Отслеживается | |
| firefox | Отслеживается | |
| firefox | Отслеживается | |
| firefox | Отслеживается | |
| firefox | Отслеживается | |
| firefox | Отслеживается | |
| firefox | Отслеживается | |
| firefox | Отслеживается | |
| firefox | Отслеживается | |
| firefox | Отслеживается | |
| firefox | Отслеживается | |
| firefox | Отслеживается | |
| firefox | Отслеживается | |
| firefox | Отслеживается | |
| firefox | Отслеживается | |
| firefox | Отслеживается | |
| firefox | Отслеживается | |
| firefox | Отслеживается | |
| firefox | Отслеживается |