# Форум на русском языке  > Новости  > Уязвимости  >  Mozilla Firefox/SeaMonkey/Thunderbird Multiple Vulnerabilities

## Shu_b

*Mozilla Firefox/SeaMonkey/Thunderbird Multiple Vulnerabilities*
_Secunia Advisory:   	 SA25469  	  Release Date: 	2007-05-31
_
*Critical: 	Highly critical
Impact:* 	Security Bypass; Spoofing; Exposure of sensitive information; DoS; System access
*Where:* 	From remote
*Solution Status: 	Vendor Patch*

*Software:* 
Mozilla Firefox 1.x
Mozilla Firefox 2.0.x
Mozilla SeaMonkey 1.0.x
Mozilla SeaMonkey 1.1.x
Mozilla Thunderbird 1.5.x
Mozilla Thunderbird 2.x

CVE reference:	CVE-2007-2867; CVE-2007-2868; CVE-2007-2870; CVE-2007-2871

*Description:*
Some vulnerabilities have been reported in Mozilla Firefox, which can be exploited by malicious people to conduct spoofing attacks, bypass certain security restrictions, and potentially compromise a user's system.

1) Errors in the JavaScript engine can be exploited to cause memory corruption and potentially to execute arbitrary code.

2) An error in the "addEventListener" method can be exploited to inject script into another site, circumventing the browser's same-origin policy. This could be used to access or modify sensitive information from the other site.

3) An error in the handling of XUL popups can be exploited to spoof parts of the browser such as the location bar.

Secunia has constructed the Secunia Software Inspector, which you can use to check if your system is vulnerable:
http://secunia.com/software_inspector/

*Описание:*
Обнаруженные уязвимости позволяют удаленному пользователю обойти ограничения безопасности, получить доступ к важным данным и скомпрометировать целевую систему.

1. Уязвимость существует из-за ошибок при обработке JavaScript. Удаленный пользователь может вызвать повреждение памяти и выполнить произвольный код на целевой системе.

2. Уязвимость существует из-за ошибки в методе "addEventListener". Удаленный пользователь может внедрить произвольный сценарий в другой сайт и изменить важные данные.

3. Уязвимость существует из-за ошибки при обработке всплывающих окон XUL. Злоумышленник может подделать определенные частит браузера (например адресную строку). 

*Solution:* Update to version 2.0.0.4 or 1.5.0.12.

Provided and/or discovered by:
The vendor credits: 1) Boris Zbarsky, Eli Friedman, Georgi Guninski, Martijn Wargers, Olli Pettay, Brendan Eich, Igor Bukanov, Jesse Ruderman, moz_bug_r_a4, and Wladimir Palant
2) moz_bug_r_a4
3) Chris Thomas

Changelog: 2007-05-31: Added link to US-CERT.

Original Advisory:
1) http://www.mozilla.org/security/anno...sa2007-12.html
2) http://www.mozilla.org/security/anno...sa2007-16.html
3) http://www.mozilla.org/security/anno...sa2007-17.html

Other References: US-CERT VU#751636: http://www.kb.cert.org/vuls/id/751636

secunia.com - Firefox SeaMonkey Thunderbird

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## DoSTR

Другими словами нужно обновится до *Mozilla Firefox 2.0.0.4*
русифицированную версию которого можно скачать с сайта:
http://www.mozilla-russia.org/

----------


## drongo

http://www.securitylab.ru/vulnerability/296927.php

----------

