-
Mozilla Firefox/SeaMonkey/Thunderbird Multiple Vulnerabilities
Mozilla Firefox/SeaMonkey/Thunderbird Multiple Vulnerabilities
Secunia Advisory: SA25469 Release Date: 2007-05-31
Critical: Highly critical
Impact: Security Bypass; Spoofing; Exposure of sensitive information; DoS; System access
Where: From remote
Solution Status: Vendor Patch
Software:
Mozilla Firefox 1.x
Mozilla Firefox 2.0.x
Mozilla SeaMonkey 1.0.x
Mozilla SeaMonkey 1.1.x
Mozilla Thunderbird 1.5.x
Mozilla Thunderbird 2.x
CVE reference: CVE-2007-2867; CVE-2007-2868; CVE-2007-2870; CVE-2007-2871
Description:
Some vulnerabilities have been reported in Mozilla Firefox, which can be exploited by malicious people to conduct spoofing attacks, bypass certain security restrictions, and potentially compromise a user's system.
1) Errors in the JavaScript engine can be exploited to cause memory corruption and potentially to execute arbitrary code.
2) An error in the "addEventListener" method can be exploited to inject script into another site, circumventing the browser's same-origin policy. This could be used to access or modify sensitive information from the other site.
3) An error in the handling of XUL popups can be exploited to spoof parts of the browser such as the location bar.
Secunia has constructed the Secunia Software Inspector, which you can use to check if your system is vulnerable:
http://secunia.com/software_inspector/
Описание:
Обнаруженные уязвимости позволяют удаленному пользователю обойти ограничения безопасности, получить доступ к важным данным и скомпрометировать целевую систему.
1. Уязвимость существует из-за ошибок при обработке JavaScript. Удаленный пользователь может вызвать повреждение памяти и выполнить произвольный код на целевой системе.
2. Уязвимость существует из-за ошибки в методе "addEventListener". Удаленный пользователь может внедрить произвольный сценарий в другой сайт и изменить важные данные.
3. Уязвимость существует из-за ошибки при обработке всплывающих окон XUL. Злоумышленник может подделать определенные частит браузера (например адресную строку).
Solution: Update to version 2.0.0.4 or 1.5.0.12.
Provided and/or discovered by:
The vendor credits: 1) Boris Zbarsky, Eli Friedman, Georgi Guninski, Martijn Wargers, Olli Pettay, Brendan Eich, Igor Bukanov, Jesse Ruderman, moz_bug_r_a4, and Wladimir Palant
2) moz_bug_r_a4
3) Chris Thomas
Changelog: 2007-05-31: Added link to US-CERT.
Original Advisory:
1) http://www.mozilla.org/security/anno...sa2007-12.html
2) http://www.mozilla.org/security/anno...sa2007-16.html
3) http://www.mozilla.org/security/anno...sa2007-17.html
Other References: US-CERT VU#751636: http://www.kb.cert.org/vuls/id/751636
secunia.com - Firefox SeaMonkey Thunderbird
Последний раз редактировалось Shu_b; 04.06.2007 в 16:23.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Другими словами нужно обновится до Mozilla Firefox 2.0.0.4
русифицированную версию которого можно скачать с сайта:
http://www.mozilla-russia.org/
-
-