跳至主內容

Mozilla Firefox / Thunderbird / Seamonkey 多個漏洞

最後更新 2012年08月30日 12:18 發佈日期: 2012年08月30日 1870 觀看次數

風險: 高度風險

類型: 用戶端 - 瀏覽器

類型: 瀏覽器

在 Mozilla Firefox, Thunderbird 及 Seamonkey 發現多個漏洞,遠端使用者可利用漏洞,執行任意程式碼,取得敏感資料,在目標使用者系統上進行跨網站指令碼攻擊。本機使用者可在目標使用者系統上提升權限。

 

  1. 遠端使用者可透過特製的內容,當目標使用者載入時,執行任意程式碼。這程式碼將以目標使用者的權限執行。
  2. 遠端使用者可利用 Object.defineProperty來隱藏 window.location,並可進行跨網站指令碼攻擊。
  3. 如果停用遠端除錯,但啟用試驗的 HTTPMonitor插件,遠端使用者則可透過HTTPMonitor使用的連接埠接駁及使用遠端除錯服務。
  4. 本機使用者可放置特製的程式在根分區在視窗檔案系統,並由安裝器執行。
  5. 遠端使用者可利用在 DOMParser 漏洞,取得敏感資料。
  6. 遠端使用者可顯示錯誤的 SSL 證書資料在地址欄。
  7. 遠端使用者可在 nsLocation::CheckURL 繞過保安檢測。
  8. 遠端使用者利用在 __android_log_print()漏洞執行任意程式碼。這只影響 Firefox for Android。
  9. 在目標使用者開啟網頁介面時,遠端使用者可注入任意程式碼

影響

  • 跨網站指令碼
  • 權限提升
  • 遠端執行程式碼
  • 資料洩露

受影響之系統或技術

  • Firefox 15.0 版本之前
  • Thunderbird ESR 10.0.7 版本之前; 15.0 版本之前
  • Seamonkey 2.12 版本之前

解決方案

在安裝軟體之前,請先瀏覽軟體供應商之網站,以獲得更多詳細資料。

  • 供應商已發佈修補程式 (ESR 10.0.7, 15.0 for Firefox 及 Thunderbird, 及 2.12 for Seamonkey)

漏洞識別碼


資料來源


相關連結