跳至主內容

Mozilla 產品多個遠端執行程式碼漏洞

最後更新 2011年01月28日 發佈日期: 2008年07月03日 2787 觀看次數

風險: 中度風險

在 Mozilla Firefox , Mozilla Thunderbird 及 SeaMonkey 發現多個漏洞,可被攻擊者繞過保安限制、洩露敏感資料、進行阻斷服務攻擊或危及受影響的系統。

1. 由於分析異常的資料時,瀏覽器及 JavaScript 引擎會產生記憶體損毀錯誤。攻擊者可以利用此漏洞終止受影響的應用程式或執行任意程式碼。

2. 由於處理某些 JavaScript 資料時,會產生相同來源驗證錯誤,利用此漏洞可進行跨網站腳本程式攻擊。

3. 由於處理已簽署的 JARs 時出現錯誤,利用此漏洞可執行任意 JavaScript 程式碼。

4. 由於處理 fastload 檔案時出現錯誤,利用此漏洞可載入Chrome script。

5. 由於一個與 "mozIJSSubScriptLoader.loadSubScript()" 相關的錯誤,利用此漏洞可執行任意程式碼。

6. 由於處理 originalTarget 事件及 DOM 範圍時出現錯誤,利用此漏洞可上載任意檔案。

7. 由於 Mac OS X 的 Java LiveConnect 存在錯誤,利用此漏洞可建立任意連接插口。

8. 處理異常的 ".properties" 檔案時,可存取未經初始化的記憶體。

9. 當處理目錄清單中的檔案路徑 URLs 時,會出現輸入驗證錯誤。

10. 由於處理使用 "alt names" 的 peer-trusted 證書時出現錯誤,利用此漏洞可進行偽造攻擊。

11. 由於處理視窗 URL 捷徑時出現錯誤,利用此漏洞可遠端執行本機檔案。

12. 由於 block reflow 存在記憶體損毀錯誤,利用此漏洞可終止受影響的瀏覽器或執行任意程式碼。


影響

  • 阻斷服務
  • 遠端執行程式碼
  • 繞過保安限制
  • 資料洩露

受影響之系統或技術

  • Mozilla Firefox 2.0.0.15 之前的版本
  • Mozilla Thunderbird 2.0.0.15 之前的版本
  • Mozilla SeaMonkey 1.1.11 之前的版本

解決方案

在安裝軟體之前,請先瀏覽軟體供應商之網站,以獲得更多詳細資料。


漏洞識別碼


資料來源


相關連結