关键漏洞信息 漏洞编号: Bug 1690976 (CVE-2021-23973) 漏洞标题: MediaError message property can leak information about cross-origin media resource 状态: Closed 修复状态: RESOLVED FIXED 产品组件: Core - Audio/Video: Playback 影响版本: 58 Branch 漏洞细节 问题描述: - 在尝试加载跨源资源时,MediaError接口的消息属性包含不同的字符串,这允许攻击者推断出跨源资源的响应状态。 预期结果: - 跨源响应状态不应被脚本检测到,除非服务器发送了必要的CORS头。 修复措施 修复描述: - 添加测试以检查第三方ERR_DECODE消息是否被默认处理。 - 不显示CORS跨源解码错误的详细信息。 相关提交: - https://hg.mozilla.org/integration/autoland/rev/ff2dd7ee09b6281c248b046757c69dab70bb77e7 - https://hg.mozilla.org/integration/autoland/rev/d119750e84691214a66216a053cb4a69209d0a2a 风险评估 风险: - 如果加载第三方源的媒体文件并在播放时显示错误,攻击者可以推断出该媒体文件的某些细节。 - 因此分类为csectype-sop(跨源限制)。 影响版本: Firefox各个版本均受影响并已修复。 审批与版本影响 已批准的影响版本: - Firefox 86, Firefox Beta, Firefox ESR78 相关审批请求: - Beta/Release Uplift Approval Request - ESR Uplift Approval Request