Mozilla Firefox 及 SeaMonkey 多個漏洞
最後更新
2011年01月28日
發佈日期:
2008年03月27日
2841
觀看次數
風險: 中度風險
在 Mozilla Firefox 及 SeaMonkey 發現多個漏洞,可被攻擊者繞過保安限制、洩露敏感資料、進行阻斷服務攻擊或取得受影響系統的完整控制權。
1. 由於處理 "XPCNativeWrappers" 時存在錯誤,攻擊者可透過呼叫 "setTimeout()",利用漏洞執行任意程式碼。
2. 由於處理 JavaScript 時會產生輸入驗證錯誤,利用此漏洞可以執行任何腳本程式。
3. 由於版面及 JavaScript 引擎在分析異常資料時,會產生記錄體損毀錯誤。攻擊者可利用此漏洞終止受影響的應用程式或執行任意程式碼。
4. 由於處理某些 HTTP "Referer:" 標頭時存在錯誤,利用此漏洞可以繞過跨網冒名請求 (cross-site request forgery) 過濾器。
5. 由於預設的 SSL 客戶端驗證設定存在錯誤,自動地選擇了代表使用者的客戶端憑證。惡意的網站只要利用漏洞可以獲得敏感資料。
6. 由於瀏海器將內容傳遞給 Java 附加元件時會產生不合規則的分析,攻擊者可經由 "jar:" 通訊協定利用漏洞在受影響系統上的任何埠中開始連線插口。
7. 由於處理 XUL 的快顯視窗時存在錯誤,攻擊者可利用漏洞偽冒表格中的元件 (如開始在其他分頁的登入面版) 及盜取使用者該網站的登入資料。
影響
- 跨網站指令碼
- 阻斷服務
- 遠端執行程式碼
- 繞過保安限制
- 仿冒
受影響之系統或技術
- Mozilla Firefox 2.0.x
- Mozilla SeaMonkey 1.1.x
解決方案
在安裝軟體之前,請先瀏覽軟體供應商之網站,以獲得更多詳細資料。
- Mozilla Firefox : 更新至 2.0.0.13 版本。
http://www.mozilla.com/en-US/firefox/2.0.0.13/releasenotes/#download - Mozilla SeaMonkey : 更新至 1.1.9 版本。
漏洞識別碼
- CVE-2007-4879
- CVE-2008-1195
- CVE-2008-1233
- CVE-2008-1234
- CVE-2008-1235
- CVE-2008-1236
- CVE-2008-1237
- CVE-2008-1238
- CVE-2008-1240
- CVE-2008-1241
資料來源
相關連結
- http://www.frsirt.com/english/advisories/2008/0998
- http://secunia.com/advisories/29526/
- http://secunia.com/advisories/29547/
- http://www.mozilla.org/security/announce/2008/mfsa2008-14.html
- http://www.mozilla.org/security/announce/2008/mfsa2008-15.html
- http://www.mozilla.org/security/announce/2008/mfsa2008-16.html
- http://www.mozilla.org/security/announce/2008/mfsa2008-17.html
- http://www.mozilla.org/security/announce/2008/mfsa2008-18.html
- http://www.mozilla.org/security/announce/2008/mfsa2008-19.html
分享至