Érintett rendszerek
FirefoxMozilla
SeaMonkey
Thunderbird
Érintett verziók
Mozilla Firefox 1.x
Mozilla SeaMonkey 1.x
Mozilla Thunderbird 1.5.x
Összefoglaló
Jelentettek néhány sérülékenységet a Mozilla Firefoxban, Thunderbirdben és SeaMonkey-ban, amiket rosszindulatú támadók kihasználhatnak bizonyos biztonsági korlátozások megkerülésére, cross-site scripting támadások indítására és az érintett rendszer feltörésére.
Leírás
Jelentettek néhány sérülékenységet a Mozilla Firefoxban, Thunderbirdben és SeaMonkey-ban, amiket rosszindulatú támadók kihasználhatnak bizonyos biztonsági korlátozások megkerülésére, cross-site scripting támadások indítására és az érintett rendszer feltörésére.
- A használt Network Security Services (NSS) könyvtárban nincs teljesen javítva az MFSA 2006-60-ban jelentett RSA aláírás hamisítási sebezhetőség. Ezt rosszindulatú támadók kihasználhatják egyes biztonsági korlátozások megkerülésére.
- Van egy hiba a Script objektumok kezelésében. Ezt kihasználva lehetséges rosszindulatú JavaScript bytecode futtatása a már futó Script objektumok megváltoztatásával.
- A layout engine néhány nem meghatározott hibáját és memória korrupciós hibákat kihasználva a JavaScript motorban lehetséges a program lefagyasztása és rosszindulatú kód futtatása.
- Az XML.prototype.hasOwnProperty egy nem meghatározott hibáját kihasználva lehetséges rosszindulatú kód futtatása.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Authentication Issues (Hitelesítés)Deny of service (Szolgáltatás megtagadás)
Input manipulation (Bemenet módosítás)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
CVE-2006-5464 - NVD CVE-2006-5464
CVE-2006-5463 - NVD CVE-2006-5463
CVE-2006-5747 - NVD CVE-2006-5747
CVE-2006-5748 - NVD CVE-2006-5748
Gyártói referencia: www.mozilla.org
CVE-2006-5462 - NVD CVE-2006-5462
SECUNIA 22722
SECUNIA 22770