Mozilla Firefox / Thunderbird / Seamonkey 多個漏洞
最後更新
2012年08月30日 12:18
發佈日期:
2012年08月30日
1870
觀看次數
風險: 高度風險
類型: 用戶端 - 瀏覽器
在 Mozilla Firefox, Thunderbird 及 Seamonkey 發現多個漏洞,遠端使用者可利用漏洞,執行任意程式碼,取得敏感資料,在目標使用者系統上進行跨網站指令碼攻擊。本機使用者可在目標使用者系統上提升權限。
- 遠端使用者可透過特製的內容,當目標使用者載入時,執行任意程式碼。這程式碼將以目標使用者的權限執行。
- 遠端使用者可利用 Object.defineProperty來隱藏 window.location,並可進行跨網站指令碼攻擊。
- 如果停用遠端除錯,但啟用試驗的 HTTPMonitor插件,遠端使用者則可透過HTTPMonitor使用的連接埠接駁及使用遠端除錯服務。
- 本機使用者可放置特製的程式在根分區在視窗檔案系統,並由安裝器執行。
- 遠端使用者可利用在 DOMParser 漏洞,取得敏感資料。
- 遠端使用者可顯示錯誤的 SSL 證書資料在地址欄。
- 遠端使用者可在 nsLocation::CheckURL 繞過保安檢測。
- 遠端使用者利用在 __android_log_print()漏洞執行任意程式碼。這只影響 Firefox for Android。
- 在目標使用者開啟網頁介面時,遠端使用者可注入任意程式碼
影響
- 跨網站指令碼
- 權限提升
- 遠端執行程式碼
- 資料洩露
受影響之系統或技術
- Firefox 15.0 版本之前
- Thunderbird ESR 10.0.7 版本之前; 15.0 版本之前
- Seamonkey 2.12 版本之前
解決方案
在安裝軟體之前,請先瀏覽軟體供應商之網站,以獲得更多詳細資料。
- 供應商已發佈修補程式 (ESR 10.0.7, 15.0 for Firefox 及 Thunderbird, 及 2.12 for Seamonkey)
漏洞識別碼
- CVE-2012-1956
- CVE-2012-1970
- CVE-2012-1971
- CVE-2012-1972
- CVE-2012-1973
- CVE-2012-1974
- CVE-2012-1975
- CVE-2012-1976
- CVE-2012-3956
- CVE-2012-3957
- CVE-2012-3958
- CVE-2012-3959
- CVE-2012-3960
- CVE-2012-3961
- CVE-2012-3962
- CVE-2012-3963
- CVE-2012-3964
- CVE-2012-3965
- CVE-2012-3966
- CVE-2012-3967
- CVE-2012-3968
- CVE-2012-3969
- CVE-2012-3970
- CVE-2012-3971
- CVE-2012-3972
- CVE-2012-3973
- CVE-2012-3974
- CVE-2012-3975
- CVE-2012-3976
- CVE-2012-3978
- CVE-2012-3979
- CVE-2012-3980
資料來源
相關連結
分享至