ASA-2019-00439 – Mozilla Firefox: Activity Stream grava conteúdo sem sanitização para innerHTML

Publicado em por Allele Security Intelligence em Alertas

For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00439

Identificador(es)

ASA-2019-00439, CVE-2019-11718, MFSA2019-21

Título

Activity Stream grava conteúdo sem sanitização para innerHTML

Fabricante(s)

Mozilla Foundation

Produto(s)

Mozilla Firefox

Versão(ões) afetada(s)

Mozilla Firefox versões anteriores a 68

Versão(ões) corrigida(s)

Mozilla Firefox versão 68

Prova de conceito

Desconhecido

Descrição

O Activity Stream pode exibir o conteúdo enviado do site do Snippet Service. Esse conteúdo é gravado em innerHTML na página do Activity Stream sem sanitização, permitindo um possível acesso a outras informações disponíveis para o Activity Stream, como histórico de navegação, se o Snipper Service estiver comprometido.

Detalhes técnicos

Desconhecido

Créditos

Mark Banner

Referência(s)

Mozilla Foundation Security Advisory 2019-21
https://www.mozilla.org/en-US/security/advisories/mfsa2019-21/#CVE-2019-11718

Bug 1408349
https://bugzilla.mozilla.org/show_bug.cgi?id=1408349

CVE-2019-11718
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11718

CVE-2019-11718
https://nvd.nist.gov/vuln/detail/CVE-2019-11718

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 18 julho 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.