Összefoglaló
A Mozilla Firefox több sérülékenységét jelentették, melyet kihasználva rosszindulatú támadók megkerülhetnek egyes biztonsági korlátokat, érzékeny információkhoz juthatnak, vagy feltörhetik a felhasználó rendszerét.
Leírás
A Mozilla Firefox több sérülékenységét jelentették, melyet kihasználva rosszindulatú támadók megkerülhetnek egyes biztonsági korlátokat, érzékeny információkhoz juthatnak, vagy feltörhetik a felhasználó rendszerét.
- A hyperlinkek feldolgozásának egy határhibája kihasználható verem túlcsordulás okozására, egy speciálisan erre a célra készített UTF-8 hyperlink URL-en keresztül.
Sikeres kihasználás esetén tetszőleges kód futtatása lehetséges. - Egy hiba a same-origin (azonos redet) ellenőrzés implementációjában a “nsXMLDocument::OnChannelRedirect()” függvényben, kihasználható tetszőleges script kód futtatására a munkamenetben, egy másik oldallal kapcsolatosan.
- A “feedWriter” több hibája kihasználható tetszőleges script kód futtatására Chrome jogosultágokkal.
- Egy hibát kihasználva a JavaScript mozgatás és átméretezés funkcionalitásában, elérhető, hogy a felhasználó más gombra kattintson, mint szeretne, és pl. letöltsön egy kártékony fájlt.
- Több hiba kihasználható az “XPCNativeWrappers” beszennyezésére és tetszőleges script kód futtatására Chrome jogosultsággal.
- Több hiba az “XSLT”-ben és a “document.loadBindingDocument()” függvényben a dokumentumok készítésekor, kihasználható tetszőleges script kód futtatására Chrome jogosultsággal.
- Több hiba az elrendező és a JavaScript motorban, kihasználható a memóriatartalom megváltoztatására.
A sérülékenység sikeres kihasználása esetén tetszőleges kód futtatása lehetséges. - Egy hiba a JavaScript kódban található BOM karakterek feldolgozásában kihasználható lehet a script szűrők megkerülésére, ezzel elősegítve egy esetleges cross-site scripting támadást.
- Egy hiba a HTML elemzőben, az low surrogate (alsó pótlás) HTML-escaped karakterek feldolgozásakor, kihasználható lehet a script szűrők megkerülésére, ezzel elősegítve egy esetleges cross-site scripting támadást.
- A “resource:” protokoll megvalósításának több hibája kihasználható könyvtár bejárásos támadás végrehajtásához és érzékeny információk megszerzéséhez.
- Az XBM dekóder egy hibája kihasználható adatok olvasására a kezdő érték nélküli memória helyekről.
A sérülékenységeket a 2.0.0.17-es verziót megelőzőekben jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Information disclosure (Információ/adat szivárgás)Input manipulation (Bemenet módosítás)
Misconfiguration (Konfiguráció)
Unknown (Ismeretlen)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
CVE-2008-4068 - NVD CVE-2008-4068
CVE-2008-4067 - NVD CVE-2008-4067
CVE-2008-4066 - NVD CVE-2008-4066
CVE-2008-4065 - NVD CVE-2008-4065
CVE-2008-4062 - NVD CVE-2008-4062
Gyártói referencia: www.mozilla.org
CVE-2008-4060 - NVD CVE-2008-4060
CVE-2008-4061 - NVD CVE-2008-4061
Gyártói referencia: www.mozilla.org
Gyártói referencia: www.mozilla.org
Gyártói referencia: www.mozilla.org
Gyártói referencia: www.mozilla.org
Gyártói referencia: www.mozilla.org
Gyártói referencia: www.mozilla.org
Gyártói referencia: www.mozilla.org
Gyártói referencia: www.mozilla.org
CVE-2008-3835 - NVD CVE-2008-3835
CVE-2008-0016 - NVD CVE-2008-0016
CVE-2008-3836 - NVD CVE-2008-3836
CVE-2008-3837 - NVD CVE-2008-3837
CVE-2008-4059 - NVD CVE-2008-4059
CVE-2008-4069 - NVD CVE-2008-4069
CVE-2008-4058 - NVD CVE-2008-4058
SECUNIA 31984