Mozilla Firefox / Thunderbird 多個漏洞
最後更新
2015年01月15日 11:53
發佈日期:
2015年01月15日
964
觀看次數
風險: 高度風險
類型: 用戶端 - 瀏覽器
在 Mozilla Firefox 及 Thunderbird 發現多個漏洞。遠端使用者可於目標用戶的系統上執行任意程式碼、進行跨網站請求偽冒攻擊及獲取敏感資料。
- 遠端使用者可建立特製的 HTML,當被用戶載入時,於目標用戶的系統上執行任意程式碼。
- 該 navigator.sendBeacon() 函數不會支援跨源資源分享規格。遠端使用者可利用此漏洞進行跨網站請求偽冒攻擊。
- 遠端網站代理可傳回帶有特製的 Set-Cookie 標頭值的 HTTP 407 代理驗證回應,插入 cookies 及進行階段固定攻擊。
影響
- 跨網站指令碼
- 遠端執行程式碼
- 資料洩露
受影響之系統或技術
- Firefox 35.0 之前的版本
- Thunderbird 31.4 之前的版本
解決方案
在安裝軟體之前,請先瀏覽軟體供應商之網站,以獲得更多詳細資料。
- 供應商已推出修補程式 (Firefox 35.0, Thunderbird 34.1)。
漏洞識別碼
- CVE-2014-8634
- CVE-2014-8635
- CVE-2014-8636
- CVE-2014-8637
- CVE-2014-8638
- CVE-2014-8639
- CVE-2014-8640
- CVE-2014-8641
- CVE-2014-8642
- CVE-2014-8643
資料來源
相關連結
分享至