Mozilla Firefox sérülékenységek


2011. június 20. 07:03

CH azonosító

CH-5068

Angol cím

Mozilla Firefox Multiple Vulnerabilities

Felfedezés dátuma

2011.06.16.

Súlyosság

Alacsony
Magas

Érintett rendszerek

Firefox
Mozilla

Érintett verziók

Mozilla Firefox 4.x

Összefoglaló

A Mozilla Firefox több sérülékenységét jelentették, amelyeket kihasználva a támadók érzékeny információt szerezhetnek meg, cross-site-scripting (XSS/CSS) támadásokat indíthatnak és feltörhetik a felhasználó sérülékeny rendszerét.

Leírás

  1. A WebGL alkalmazás nem részletezett hibája kihasználható érzékeny információk felfedésére, pl. az áldozat asztalának (desktop) képernyőképei vagy egyéb oldalakról származó képek.
  2. Néhány ismeretlen hiba kihasználható a memória tartalmának megváltoztatására. Jelenleg nem áll rendelkezésre bővebb információ.
  3. Egy felszabadítás utáni használatból eredő (use-after-free) hiba jelentkezik XUL dokumentumok kezelésekor.
  4. Egy hiba “multipart/x-mixed-replace” MIME type-pal történő képfeldolgozáskor kihasználható a memória tartalmának megváltoztatására.
  5. Egy egész szám túlcsordulási hiba a “reduceRight()” eljárásban egy nagyon nagy tömb objektumban elemek ismétlésekor kihasználható az elem tulajdonságainak megtekintésére érvénytelen indexszel.
    A 2-5-ös pontban felsorolt sérülékenységek sikeres kihasználása tetszőleges kód futtatását teszik lehetővé.
  6. A WebGL-en belüli hiba egyes adatok olvasásakor kihasználható a GPU memóriájának más folyamatok által használt tartalmának kinyerésére.
  7. A WebGL-en belüli hiba kihasználható a memória tartalmának megváltoztatására. Jelenleg nem áll rendelkezésre bővebb információ.
    A sérülékenység sikeres kihasználása tetszőleges kód futtatását teszi lehetővé.
  8. HTML-kódolású  entitásokkal átadott bemeneti adat nincs megfelelően dekódolva az SVG elemeken belüli megjelenítés előtt. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngésző munkamenetében egy érintett oldallal kapcsolatosan.

A sérülékenységek az összes 4.x verziót érintik

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Input manipulation (Bemenet módosítás)
Other (Egyéb)
Unknown (Ismeretlen)

Hatás

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: blog.mozilla.com
Gyártói referencia: www.mozilla.org
Gyártói referencia: www.mozilla.org
Gyártói referencia: www.mozilla.org
Gyártói referencia: www.mozilla.org
Gyártói referencia: www.mozilla.org
Gyártói referencia: www.mozilla.org
Gyártói referencia: www.mozilla.org
Egyéb referencia: www.contextis.com
SECUNIA 44972
CVE-2011-2366 - NVD CVE-2011-2366
CVE-2011-2367 - NVD CVE-2011-2367
CVE-2011-2368 - NVD CVE-2011-2368
CVE-2011-2369 - NVD CVE-2011-2369
CVE-2011-2370 - NVD CVE-2011-2370
CVE-2011-2371 - NVD CVE-2011-2371
CVE-2011-2373 - NVD CVE-2011-2373
CVE-2011-2374 - NVD CVE-2011-2374
CVE-2011-2375 - NVD CVE-2011-2375
CVE-2011-2377 - NVD CVE-2011-2377

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-34028 – Commvault Command Center Path Traversal sérülékenysége
CVE-2023-44221 – SonicWall SMA100 Appliances OS Command Injection sérülékenysége
CVE-2024-38475 – Apache HTTP Server Improper Escaping of Output sérülékenysége
CVE-2025-24132 – Apple AirPlay sebezhetősége
CVE-2025-31330 – SAP Landscape Transformation sebezhetősége
CVE-2025-27429 – SAP sebezhetősége
CVE-2025-21204 – Windows Process Activation Elevation of Privilege sebezhetősége
CVE-2025-32432 – Craft CMS RCE sebezhetősége
CVE-2025-1976 – Broadcom Brocade Fabric OS Code Injection sebezhetősége
Tovább a sérülékenységekhez »