29.11.2016 в 10:21
В Firefox 50.0.1 устранена критическая уязвимость
Уязвимость проявляется только в Firefox 49 и 50, ESR-ветка проблеме не подвержена.
Перенаправление запроса на URL с префиксом «data:» при определённом стечении обстоятельств приводит к обработке содержимого «data:» в контексте домена (origin), с которого был выполнен редирект. Воспользовавшись этой недоработкой атакущий может обойти привязку к домену источника (same-origin) и загрузить свои ресурсы в контексте чужого домена. Например, продемонстрирована возможность применения описанного метода для установки cookie для стороннего домена.
Скачать Firefox 50.0.1 для Windows, macOS и Linux.
Источник новости: opennet.ru