-
Множественные уязвимости в Mozilla Firefox 3
24 сентября, 2008
Программа: Mozilla Firefox версии до 3.0.2
Опасность: Высокая
Наличие эксплоита: Нет
Описание:
Обнаруженные уязвимости позволяют удаленному пользователю получить доступ к важным данным, произвести XS нападение и выполнить произвольный код на целевой системе. 1. Уязвимость существует из-за ошибки, которая позволяет атакующему смещать окно содержимого и перетаскивать элементы страницы при клике мыши. Удаленный пользователь может с помощью специально сформированного Web сайта заставить пользователя скачать файл или произвести другие drag-and-drop действия.
2. Уязвимость существует из-за ошибки в XPCNativeWrappers. Удаленный пользователь может с помощью специально сформированного Web сайта выполнить произвольный сценарий на целевой системе с привилегиями chrome.
3. Уязвимость существует из-за того, что XSLT может создать документы, не содержащие объекты управления сценариями. Злоумышленник может воспользоваться функцией document.loadBindingDocument() для получения документа, не содержащего объекты управления сценариями, и выполнить произвольный сценарий на системе с привилегиями chrome.
4. Уязвимость существует из-за ошибки в механизме раскладки. Удаленный пользователь может вызвать повреждение памяти и потенциально скомпрометировать целевую систему.
5. Уязвимость существует из-за ошибки в механизме JavaScript. Удаленный пользователь может вызвать повреждение памяти и потенциально скомпрометировать целевую систему.
6. Еще одна уязвимость существует из-за ошибки в механизме раскладки. Удаленный пользователь может вызвать повреждение памяти и потенциально скомпрометировать целевую систему.
7. Уязвимость существует из-за ошибки при обработке графический изображений. Удаленный пользователь может вызвать повреждение памяти и потенциально скомпрометировать целевую систему.
8. Уязвимость существует из-за ошибки при обработке BOM символов. Удаленный пользователь может обойти фильтры для сценариев и произвести XSS нападение.
9. Уязвимость существует из-за того, что на Linux системе приложение позволяет «resource://» ссылки, содержащие символы обхода каталога при использовании URL-кодированных слешей.
10. Уязвимость существует из-за того, что ограничения, установленные на локальные HTML файлы, можно обойти с помощью протокола «resource://». Удаленный пользователь может получить доступ к системным данным и запросить и целевого пользователя право на сохранение данных в файл.
URL производителя: www.mozilla.com
Решение: Установите последнюю версию 3.0.2 с сайта производителя.
securitylab.ru
Left home for a few days and look what happens...
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Только успели Mozilla Firefox версию 3.0.2 выпустить, как тутже 3.0.3 вышла.
Kaspersky Internet Security 2013 и Windows 8 Профессионал с Media Center
Стандартный пользователь + Политики ограниченного использования программ
-
-
Релиз под номером 3.0.3 исправляет проблемы с сохранением паролей для сайтов и форм http://www.mozilla.com/en-US/firefox.../releasenotes/
-
-
Сообщение от
SDA
исправляет проблемы с сохранением паролей для сайтов и форм
Да, да... Это, как у вас говорят 'Сказка про Белого Бычка'.
Кэш, пароли и история - самые уязвимые места в Firefox если у вас работает Javascript, и Мозилла уже давно пытается устранить эти уязвимости. Если установить NoScript, то тогда защита будет до следующего патча (по безопасности имею в виду; чтобы закрыть дыры, которые они с данным патчом создали)...
Paul
Последний раз редактировалось XP user; 27.09.2008 в 15:38.