CH azonosító
CH-9620Angol cím
Mozilla Firefox ESR / Thunderbird / SeaMonkey Multiple VulnerabilitiesFelfedezés dátuma
2013.08.06.Súlyosság
MagasÉrintett rendszerek
FirefoxMozilla
SeaMonkey
Thunderbird
Érintett verziók
Mozilla Firefox ESR 17.0.8 előtti verziók
Mozilla Thunderbird és Thunderbird ESR 17.0.8 előtti verziók
Mozilla SeaMonkey 2.20 előtti verziók
Összefoglaló
Több sérülékenységét is jelentettek a Mozilla Firefox ESR, a Thunderbird és a SeaMonkey szoftverekben, amelyeket kihasználva rosszindulatú, helyi felhasználók emelt szintű jogosultságot szerezhetnek, spoofing támadásokat indíthatnak, érzékeny adatokhoz juthatnak hozzá, megkerülhetnek bizonyos biztonsági szabályokat és feltörhetik a felhasználó rendszerét.
Leírás
Több sérülékenységét is jelentettek a Mozilla Firefox ESR, a Thunderbird és a SeaMonkey szoftverekben, amelyeket kihasználva rosszindulatú, helyi felhasználók emelt szintű jogosultságot szerezhetnek, spoofing támadásokat indíthatnak, érzékeny adatokhoz juthatnak hozzá, megkerülhetnek bizonyos biztonsági szabályokat és feltörhetik a felhasználó rendszerét.
1. Egyes nem részletezett hibák memória kezelési problémákat okoznak. További információ jelenleg nem áll rendelkezésre.
2. Use-after-free hiba áll fenn Document Object Model módosításakor, a SetBody esemény kezelésénél.
Megjegyzés: Ez a biztonsági rés csak a Mozilla SeaMonkey-t érinti.
3. Use-after-free hiba áll fenn, ha egy CRMF-et (Certificate Request Message Format) bizonyos paraméterekkel hoznak létre.
Megjegyzés: Ez a biztonsági rés csak a Mozilla SeaMonkey-t érinti.
4. Néhány hiba a Karbantartási Szolgáltatásban és a Mozilla Updater-ben kihasználható verem alapú puffer túlcsordulás okozására és tetszőleges kód futtatására az adott szolgáltatás jogosultságaival.
Megjegyzés: Ez a biztonsági rés nem érinti a Mozilla SeaMonkey-t és csak Windows platformra érvényes.
5. Egy a keretekhez kapcsolódó meghatározatlan hiba kihasználható spoofing támadások indítására.
6. Egy meghatározatlan hiba keletkezik, ha egy CRMF-et (Certificate Request Message Format) bizonyos paraméterekkel hoznak létre.
7. Az XBL scope-ok kezelésekor egy hiba kihasználható az XrayWrappers megkerülésére.
Megjegyzés: Ez a biztonsági rés csak a Mozilla SeaMonkey-t érinti.
8. Az URI (Uniform Resouce Identifier) bizonyos Javascript komponensek általi ellenőrzésekor fellépő hiba kihasználható a same-origin policy megkerülésére.
9. Egy a webet érintő hiba kihasználható a same-origin policy megkerülésére XMLHttpRequests segítségével.
10. Egy Java alkalmazások betöltésekor keletkező hiba kihasználható érzékeny információkhoz való hozzáférésre.
Az #1, #4 és #6 sérülékenységek sikeres kihasználása lehetővé teszik tetszőleges kód futtatását.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Information disclosure (Információ/adat szivárgás)Other (Egyéb)
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
CVE-2013-1701 - NVD CVE-2013-1701
CVE-2013-1702 - NVD CVE-2013-1702
CVE-2013-1704 - NVD CVE-2013-1704
CVE-2013-1705 - NVD CVE-2013-1705
CVE-2013-1706 - NVD CVE-2013-1706
CVE-2013-1707 - NVD CVE-2013-1707
CVE-2013-1709 - NVD CVE-2013-1709
CVE-2013-1710 - NVD CVE-2013-1710
CVE-2013-1711 - NVD CVE-2013-1711
CVE-2013-1713 - NVD CVE-2013-1713
CVE-2013-1714 - NVD CVE-2013-1714
CVE-2013-1717 - NVD CVE-2013-1717