ASA-2019-00443 – Mozilla Firefox: Política de same-origin trata todos os arquivos em um diretório como same-origin


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00443

Identificador(es)

ASA-2019-00443, CVE-2019-11730, MFSA2019-21

Título

Política de same-origin trata todos os arquivos em um diretório como same-origin

Fabricante(s)

Mozilla Foundation

Produto(s)

Mozilla Firefox

Versão(ões) afetada(s)

Mozilla Firefox versões anteriores a 68

Versão(ões) corrigida(s)

Mozilla Firefox versão 68

Prova de conceito

Desconhecido

Descrição

Existe uma vulnerabilidade onde, se um usuário abrir um arquivo HTML salvo localmente, esse arquivo poderá usar file: URIs para acessar outros arquivos no mesmo diretório ou subdiretórios, se os nomes forem conhecidos ou adivinhados. A Fetch API pode então ser usada para ler o conteúdo de quaisquer arquivos armazenados nesses diretórios e eles podem ser enviados para um servidor. Luigi Gubello demonstrou que, em combinação com um popular aplicativo de mensagens Android, se um anexo HTML malicioso é enviado para um usuário e ele é aberto no Firefox, devido ao padrão previsível desse aplicativo para nomes de arquivo salvos localmente, é possível ler anexos a vítima recebeu de outros correspondentes.

Detalhes técnicos

Desconhecido

Créditos

Luigi Gubello

Referência(s)

Mozilla Foundation Security Advisory 2019-21
https://www.mozilla.org/en-US/security/advisories/mfsa2019-21/#CVE-2019-11730

Bug 1558299
https://bugzilla.mozilla.org/show_bug.cgi?id=1558299

CVE-2019-11730
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11730

CVE-2019-11730
https://nvd.nist.gov/vuln/detail/CVE-2019-11730

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 18 julho 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.