Przeglądarka Mozilla Firefox niepoprawnie obsługiwała prefiksy cookie takie jak `__Secure`, ignorując je w przypadku niezgodności wielkości liter, zamiast stosować porównanie bez uwzględnienia wielkości liter zgodnie ze specyfikacją. Mogło to prowadzić do nieprzestrzegania przez przeglądarkę reguł bezpieczeństwa określonych przez te prefiksy.
▸ Pokaż oryginał (EN)
In violation of spec, cookie prefixes such as `__Secure` were being ignored if they were not correctly capitalized - by spec they should be checked with a case-insensitive comparison. This could have resulted in the browser not correctly honoring the behaviors specified by the prefix. This vulnerability affects Firefox < 127.
Zgodnie ze specyfikacją, prefiksy cookie takie jak `__Secure` powinny być rozpoznawane przy użyciu porównania bez uwzględnienia wielkości liter (case-insensitive). Firefox błędnie pomijał te prefiksy, jeśli nie były zapisane dokładnie wymaganą wielkością liter, co stanowi naruszenie specyfikacji (CWE-178). W rezultacie mechanizmy ochronne wymuszane przez prefiksy — takie jak wymaganie flagi Secure — nie były egzekwowane przez przeglądarkę. Atakujący mógł potencjalnie ustawić lub zmodyfikować cookies w sposób, który powinien być zablokowany przez te prefiksy.
Atakujący mógł obejść zabezpieczenia związane z prefiksami cookie, co mogło skutkować nieautoryzowanym dostępem do chronionych zasobów, ujawnieniem poufnych danych lub naruszeniem integralności sesji użytkownika.
Należy zaktualizować przeglądarkę Mozilla Firefox do wersji 127 lub nowszej. Szczegóły dostępne w komunikacie bezpieczeństwa producenta: https://www.mozilla.org/security/advisories/mfsa2024-25/
Mozilla Firefox w wersjach wcześniejszych niż 127
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HMozilla Firefox
APPMozilla< 127.0
Powiązane podatności
Use-after-free w Animation timelines Firefox/Thunderbird — RCE
An unexpected message in the WebGPU IPC framework could lead to a use-after-free and exploitable sandbox escap...
Insufficient vetting of parameters passed with the Prompt:Open IPC message between child and parent processes ...
Mozilla Firefox 3.5.x through 3.5.14 and 3.6.x through 3.6.11, Thunderbird 3.1.6 before 3.1.6 and 3.0.x before...
Memory safety bugs present in Firefox 152.0.3. Some of these bugs showed evidence of memory corruption and we ...