Несколько уязвимостей в Mozilla Firefox и Seamonkey

[B]27 ноября, 2007[/B]

[B]Программа:[/B]
Mozilla Firefox версии до 2.0.0.10
Mozilla Seamonkey версии до 1.1.7

[B]Опасность: [COLOR=red]Высокая[/COLOR][/B]

[B]Наличие эксплоита: [COLOR=green]Нет[/COLOR][/B]

[B]Описание: [/B]
Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение и выполнить произвольный код на целевой системе.
1. Уязвимость существует из-за недостаточной обработки некоторых данных. Удаленный пользователь может с помощью специально сформированного Web сайта вызвать повреждение памяти и выполнить произвольный код на целевой системе.
2. Ошибка состояния операции обнаружена при установке свойства "window.location". Удаленный пользователь может с помощью специально сформированного Web сайта произвести CSRF атаку.
3. Уязвимость существует из-за ошибки при обработке "jar:" URI. Подробное описание уязвимости:
[URL="http://www.securitylab.ru/vulnerability/307275.php"][COLOR=#0000ff]www.securitylab.ru/vulnerability/307275.php[/COLOR][/URL]

[B]URL производителя: [/B][URL="http://www.mozilla.com"][COLOR=#0000ff]www.mozilla.com[/COLOR][/URL]

[B]Решение: [/B]Установите последнюю версию Mozilla Firefox 2.0.0.10 и Mozilla Seamonkey 1.1.7 с сайта производителя.

[URL="http://www.securitylab.ru/vulnerability/308672.php"]securitylab.ru[/URL]

Стоит отметить, что NoScript спасает от таких уязвимостей на сайтах, которые НЕ в доверенных (то есть почти все)...

Paul