跳至主內容

Mozilla 產品執行程式碼及繞過保安限制漏洞

最後更新 2011年01月28日 發佈日期: 2010年03月25日 2669 觀看次數

風險: 中度風險

由於 Mozilla Firefox、Thunderbird 及 SeaMonkey 發現多個漏洞,攻擊者可利用漏洞修改或洩露某些資料、繞過保安限制或控制受影響的系統。

1. 由於處理 "multipart/x-mixed-replace" 圖像檔時產生使用已釋放的記憶體內容錯誤,允許攻擊者終止受影響的瀏覽器或執行任意程式碼。

2. 由於處理 "window.location" 物件時產生錯誤,允許攻擊者透過第三者的插件進行跨網域繞過攻擊 (cross-origin bypass)。

3. 由於分析異常資料時瀏覽器引擎會產生記憶體損毀錯誤,攻擊者可利用漏洞終止受影響的瀏覽器或執行任意程式碼。

4. 由於在已封裝的物件上使用 "addEventListener" 及 "setTimeout" 時產生錯誤,允許攻擊者進行跨網站指令碼攻擊 (cross site scripting attacks)。

5. 由於 preload 圖像檔時產生錯誤,允許攻擊者對某些附加元件進行跨網站請求偽造攻擊 (cross-site request forgery attacks)。

6. 由於處理在遠端 XUL文件內使用的樣式工作表時產生錯誤,允許惡意網站干擾使用者的 XUL快取記憶體及改變瀏覽器形式的屬性 (例如 : 字體大小及顏色)。

7. 由於新的非同步認證提示 (asynchronous Authorization Prompt) (HTTP使用者名稱及密碼) 並不是經常附設在正確的視窗上,允許攻擊者進行釣魚攻擊。


影響

  • 遠端執行程式碼
  • 繞過保安限制
  • 資料洩露

受影響之系統或技術

  • Mozilla Firefox3.6.2 之前的版本
  • Mozilla Firefox3.5.8 之前的版本
  • Mozilla Firefox 3.0.18 之前的版本
  • Mozilla Thunderbird 3.0.2 之前的版本
  • Mozilla SeaMonkey 2.0.3 之前的版本

解決方案

在安裝軟體之前,請先瀏覽軟體供應商之網站,以獲得更多詳細資料。


漏洞識別碼


資料來源


相關連結