CRITICAL🇬🇧 English

CVE-2024-5699

Mozilla Firefox: nieprawidłowa obsługa prefiksów cookie (__Secure)

CVSS 9.8v3.1pub. 2024-06-11upd. 2025-04-04

Przeglądarka Mozilla Firefox niepoprawnie obsługiwała prefiksy cookie takie jak `__Secure`, ignorując je w przypadku niezgodności wielkości liter, zamiast stosować porównanie bez uwzględnienia wielkości liter zgodnie ze specyfikacją. Mogło to prowadzić do nieprzestrzegania przez przeglądarkę reguł bezpieczeństwa określonych przez te prefiksy.

Pokaż oryginał (EN)

In violation of spec, cookie prefixes such as `__Secure` were being ignored if they were not correctly capitalized - by spec they should be checked with a case-insensitive comparison. This could have resulted in the browser not correctly honoring the behaviors specified by the prefix. This vulnerability affects Firefox < 127.

🤖 Analiza AI
Jak działa

Zgodnie ze specyfikacją, prefiksy cookie takie jak `__Secure` powinny być rozpoznawane przy użyciu porównania bez uwzględnienia wielkości liter (case-insensitive). Firefox błędnie pomijał te prefiksy, jeśli nie były zapisane dokładnie wymaganą wielkością liter, co stanowi naruszenie specyfikacji (CWE-178). W rezultacie mechanizmy ochronne wymuszane przez prefiksy — takie jak wymaganie flagi Secure — nie były egzekwowane przez przeglądarkę. Atakujący mógł potencjalnie ustawić lub zmodyfikować cookies w sposób, który powinien być zablokowany przez te prefiksy.

Skutki

Atakujący mógł obejść zabezpieczenia związane z prefiksami cookie, co mogło skutkować nieautoryzowanym dostępem do chronionych zasobów, ujawnieniem poufnych danych lub naruszeniem integralności sesji użytkownika.

Mitygacja

Należy zaktualizować przeglądarkę Mozilla Firefox do wersji 127 lub nowszej. Szczegóły dostępne w komunikacie bezpieczeństwa producenta: https://www.mozilla.org/security/advisories/mfsa2024-25/

Kogo dotyczy

Mozilla Firefox w wersjach wcześniejszych niż 127

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Mozilla Firefox

    APP
    Mozilla
    < 127.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-9680CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Use-after-free w Animation timelines Firefox/Thunderbird — RCE

CVE-2022-26486CRITICAL9.6⚠ KEVten sam produkt

An unexpected message in the WebGPU IPC framework could lead to a use-after-free and exploitable sandbox escap...

CVE-2019-11708CRITICAL10.0⚠ KEVten sam produkt

Insufficient vetting of parameters passed with the Prompt:Open IPC message between child and parent processes ...

CVE-2010-3765CRITICAL9.8⚠ KEVten sam produkt

Mozilla Firefox 3.5.x through 3.5.14 and 3.6.x through 3.6.11, Thunderbird 3.1.6 before 3.1.6 and 3.0.x before...

CVE-2026-14241CRITICAL9.8ten sam produkt

Memory safety bugs present in Firefox 152.0.3. Some of these bugs showed evidence of memory corruption and we ...