ALEX(XX)
26.07.2010, 17:26
26 июля, 2010
Программа: Mozilla Firefox версии до 3.6.8
Опасность: Высокая
Описание:
Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение, получить доступ к важным данным и выполнить произвольный код на целевой системе.
1. Уязвимость существует из-за ошибок, связанных с безопасностью памяти. Удаленный пользователь может выполнить произвольный код на целевой системе.
2. Еще одна уязвимость существует из-за ошибки, связанной с безопасностью памяти. Удаленный пользователь может выполнить произвольный код на целевой системе.
3. Уязвимость существует из-за ошибки в механизме клонирования DOM атрибута. Удаленный пользователь может выполнить произвольный код на целевой системе.
4. Уязвимость существует из-за ошибки использования после освобождения в реализации NodeIterator. Удаленный пользователь может присоединить специально сформированный NodeFilter и выполнить произвольный код на целевой системе.
5. Уязвимость существует из-за ошибки в коде, используемом для хранения имен и значений параметров плагина. Удаленный пользователь может с помощью специально сформированного Web сайта вызвать целочисленное переполнение и выполнить произвольный код на целевой системе.
6. Уязвимость существует из-за ошибки доступа к содержимому объекта с помощью SJOW из области chrome. Удаленный пользователь может выполнить произвольный JavaScript код с привилегиями chrome.
7. Целочисленное переполнение обнаружено в классе, используемом для хранения CSS свойств. Удаленный пользователь может с помощью специально сформированного CSS массива выполнить произвольный код на целевой системе.
8. Целочисленное переполнение обнаружено в реализации атрибута selection в XUL tree элементах (nsTreeSelection) при определении размеров выделений. Удаленный пользователь может спровоцировать использование некорректного указателя и выполнить произвольный код на целевой системе.
9. Уязвимость существует из-за ошибки при обработке PNG изображений. Удаленный пользователь может выполнить произвольный код на целевой системе. Подробное описание уязвимости:
www.securitylab.ru/vulnerability/395260.php #1
10. Уязвимость существует из-за ошибки в методе importScripts в Web Worker. Удаленный пользователь может обойти ограничения политики единства происхождения и получить доступ к потенциально важным данным.
11. Уязвимость существует из-за ошибки в canvas элементах во время воспроизведения междоменных данных. Удаленный пользователь может обойти ограничения политики единства происхождения и получить доступ к потенциально важным данным.
12. Уязвимость существует из-за ошибки при обработке неопределенных позиций в различных 8-битных кодировках, что приводит к исчезновению некоторых символов из контекста. Уязвимость может потенциально использоваться для проведения XSS атак.
13. Уязвимость существует из-за ошибки при обработке CSS селекторов. Удаленный пользователь может внедрить CSS селекторы в страницу и с помощью JavaScript API getComputedStyle() получить доступ к данным, находящимся между селекторами.
URL производителя: www.mozilla.com/firefox
Решение: Установите последнюю версию 3.6.8 с сайта производителя.
securitylab.ru (http://www.securitylab.ru/vulnerability/396114.php)
Программа: Mozilla Firefox версии до 3.6.8
Опасность: Высокая
Описание:
Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение, получить доступ к важным данным и выполнить произвольный код на целевой системе.
1. Уязвимость существует из-за ошибок, связанных с безопасностью памяти. Удаленный пользователь может выполнить произвольный код на целевой системе.
2. Еще одна уязвимость существует из-за ошибки, связанной с безопасностью памяти. Удаленный пользователь может выполнить произвольный код на целевой системе.
3. Уязвимость существует из-за ошибки в механизме клонирования DOM атрибута. Удаленный пользователь может выполнить произвольный код на целевой системе.
4. Уязвимость существует из-за ошибки использования после освобождения в реализации NodeIterator. Удаленный пользователь может присоединить специально сформированный NodeFilter и выполнить произвольный код на целевой системе.
5. Уязвимость существует из-за ошибки в коде, используемом для хранения имен и значений параметров плагина. Удаленный пользователь может с помощью специально сформированного Web сайта вызвать целочисленное переполнение и выполнить произвольный код на целевой системе.
6. Уязвимость существует из-за ошибки доступа к содержимому объекта с помощью SJOW из области chrome. Удаленный пользователь может выполнить произвольный JavaScript код с привилегиями chrome.
7. Целочисленное переполнение обнаружено в классе, используемом для хранения CSS свойств. Удаленный пользователь может с помощью специально сформированного CSS массива выполнить произвольный код на целевой системе.
8. Целочисленное переполнение обнаружено в реализации атрибута selection в XUL tree элементах (nsTreeSelection) при определении размеров выделений. Удаленный пользователь может спровоцировать использование некорректного указателя и выполнить произвольный код на целевой системе.
9. Уязвимость существует из-за ошибки при обработке PNG изображений. Удаленный пользователь может выполнить произвольный код на целевой системе. Подробное описание уязвимости:
www.securitylab.ru/vulnerability/395260.php #1
10. Уязвимость существует из-за ошибки в методе importScripts в Web Worker. Удаленный пользователь может обойти ограничения политики единства происхождения и получить доступ к потенциально важным данным.
11. Уязвимость существует из-за ошибки в canvas элементах во время воспроизведения междоменных данных. Удаленный пользователь может обойти ограничения политики единства происхождения и получить доступ к потенциально важным данным.
12. Уязвимость существует из-за ошибки при обработке неопределенных позиций в различных 8-битных кодировках, что приводит к исчезновению некоторых символов из контекста. Уязвимость может потенциально использоваться для проведения XSS атак.
13. Уязвимость существует из-за ошибки при обработке CSS селекторов. Удаленный пользователь может внедрить CSS селекторы в страницу и с помощью JavaScript API getComputedStyle() получить доступ к данным, находящимся между селекторами.
URL производителя: www.mozilla.com/firefox
Решение: Установите последнюю версию 3.6.8 с сайта производителя.
securitylab.ru (http://www.securitylab.ru/vulnerability/396114.php)