-
Множественные уязвимости в Mozilla Firefox
22 апреля, 2009
Программа: Mozilla Firefox версии до 3.0.9
Опасность: Высокая
Наличие эксплоита: Нет
Описание:
Обнаруженные уязвимости позволяют удаленному пользователю обойти некоторые ограничения безопасности, произвести XSS нападение, получить доступ к важным данным, вызвать отказ в обслуживании и скомпрометировать целевую систему.
1. Две уязвимости существуют из-за ошибок в browser engine. Удаленный пользователь может вызвать повреждение памяти и выполнить произвольный код на целевой системе.
2. Две уязвимости существуют из-за ошибок в механизме JavaScript. Удаленный пользователь может вызвать повреждение памяти и выполнить произвольный код на целевой системе.
3. Уязвимость существует из-за ошибки в "jar:" схеме при обработке URI, используемого для данных с Content-Disposition: attachment. Удаленный пользователь может произвести XSS нападение на сайты, которые позволяют пользователям загружать произвольные данные, передаваемые как "application/java-archive" или "application/x-jar", и полагающиеся на HTTP заголовок "Content-Disposition: attachment" для ограничения потенциально небезопасных данных.
4. Уязвимость существует из-за ошибки при загрузке Adobe Flash файлов посредством схемы "view-source:". Удаленный пользователь может произвести CSRF атаку и просмотреть или записать Local Shared Objects на системе пользователя.
5. Уязвимость существует из-за ошибки при обработке XBL привязок. Злоумышленник может произвести XSS нападение на сайты, позволяющие пользователю добавить таблицы стилей с другого источника.
6. Уязвимость существует из-за ошибок в "XMLHttpRequest" и "XPCNativeWrapper.toString". Удаленный пользователь может обойти политику единства происхождения и выполнить произвольный код на системе с привилегиями chrome.
7. Уязвимость существует из-за ошибки при обработке "SearchForm javascript:" URI, когда пользователь производит пустой поиск в специально сформированном плагине.
8. Уязвимость существует из-за ошибки при обработке POST данных, при сохранении внутреннего фрейма страницы в качестве файла в то время, как внешняя страница содержит POST данные, что приведет к отправке POST данных на URL внутреннего фрейма. Удаленный пользователь может получить доступ к потенциально важным данным.
9. Уязвимость существует из-за ошибки при обработке заголовка "Refresh". Удаленный пользователь может произвести XSS нападение.
URL производителя: www.mozilla.com/en-US/firefox/
Решение: Установите последнюю версию 3.0.9 с сайта производителя
securitylab.ru
Left home for a few days and look what happens...
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Спасибо!
Я Оперу люблю... 
-
Сообщение от
Black_N
Спасибо!
Я Оперу люблю...
Если станет когда-нибудь такой же популярной, как сейчас лиса, то и в этой "Опере" найдут не меньше "фальшивых нот" 
In Avira & Dr.Web we trust!
Ответить с цитированием
