ASA-2019-00437 – Mozilla Firefox: GlobalThis não é enumerável até ser acessado


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00437

Identificador(es)

ASA-2019-00437, CVE-2019-11716, MFSA2019-21

Título

GlobalThis não é enumerável até ser acessado

Fabricante(s)

Mozilla Foundation

Produto(s)

Mozilla Firefox

Versão(ões) afetada(s)

Mozilla Firefox versões anteriores a 68

Versão(ões) corrigida(s)

Mozilla Firefox versão 68

Prova de conceito

Desconhecido

Descrição

Até explicitamente ser acessado pelo script, window.globalThis não é enumerável e, como resultado, não é visível para o código, como Object.getOwnPropertyNames (window). Os sites que implantam um sandbox que depende de enumerar e congelar o acesso ao objeto de janela podem perder isso, permitindo que suas sandboxes sejam bypassed.

Detalhes técnicos

Desconhecido

Créditos

Chris Hacking

Referência(s)

Mozilla Foundation Security Advisory 2019-21
https://www.mozilla.org/en-US/security/advisories/mfsa2019-21/#CVE-2019-11716

Bug 1552632
https://bugzilla.mozilla.org/show_bug.cgi?id=1552632

CVE-2019-11716
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11716

CVE-2019-11716
https://nvd.nist.gov/vuln/detail/CVE-2019-11716

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 18 julho 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.