Összefoglaló
A Mozilla két sérülékenységet foltozott be a Firefox és Firefox ESR kapcsán, melyek kihasználásával rosszindulatú távoli felhasználók képesek lehetnek átvenni az irányítást a támadott rendszer felett.
Leírás
Az egyik hiba a Graphite 2 library-t érinti és a belső utasítások nem megfelelő ellenőrzéséből fakad. Kihasználása speciálisan megszerkesztett Graphite smartfontok segítségével történhet és tetszőleg kód futtatását teheti lehetővé.
A másik probléma a plugin-eket érinti és lehetőséget ad az Same Origin Policy (“azonos eredet irányelv”) megkerülésére, ezáltal rosszindulatú felhasználók képesek lehetnek kártékony weboldalakkal támadást végrehajtani.
Megoldás
Frissítés a legújabb verziókra:
- Firefox 44.0.2
- Firefox ESR 38.6.1
Támadás típusa
Hijacking (Visszaélés)Information disclosure (Információ/adat szivárgás)
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
execute arbitrary code
execute code
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.mozilla.org
Gyártói referencia: www.mozilla.org
CVE-2016-1523 - NVD CVE-2016-1523
CVE-2016-1949 - NVD CVE-2016-1949