Mozilla termékek sérülékenységei


2012. február 1. 13:49

CH azonosító

CH-6342

Angol cím

Multiple Mozilla Products Vulnerability

Felfedezés dátuma

2012.01.31.

Súlyosság

Magas

Érintett rendszerek

Firefox
Mozilla
SeaMonkey
Thunderbird

Érintett verziók

Mozilla Firefox3.6.x, 9.x
Mozilla Thunderbird 3.1.x, 9.x
Mozilla SeaMonkey 2.x

Összefoglaló

A Mozilla Firefox, Thunderbird és SeaMonkey olyan sérülékenységei váltak ismertté, amelyeket a rosszindulatú helyi felhasználók kihasználhatnak bizalmas információk felfedésére, valamint a támadók bizonyos biztonsági korlátozások megkerülésére, bizonyos bizalmas információk felfedésére és a felhasználó rendszerének a feltörésére.

Leírás

  1. Néhány nem részletezett hiba kihasználható memória kezelési hiba okozására. Jelenleg nem áll rendelkezésre több információ.
  2. Egy sub-frame kezelésekor jelentkező hiba kihasználható a frame navigációs házirend megkerülésére és pl. a név attribútummal egy “<iframe>” elem felfedésére.
  3. Egy felszabadulítás utáni használat miatti hiba az “AttributeChildRemoved()” eljárásban, az “nsDOMAttribute” gyermek csomópontjainak (child node) eltávolításakor, kihasználható tetszőleges kód futtatására.
  4. Az XPConnect biztonsági ellenőrzés nem megbízható objektumok hívásakor jelentkező hibája kihasználható cross-site scripting támadások kezdeményezésére.
  5. Az “mImageBufferSize()” eljárás hibája, amikor a képek “image/vnd.microsoft.icon”-ként történő kódolása történik, kihasználható bizonyos bizalmas adatok felfedésére az eredményül kapott képekből.
  6. Egy nem részletezett hiba az Ogg Vorbis fájlok dekódolásakor kihasználható memória kezelési hiba okozására és tetszőleges kód futtatására.
  7. A beágyazott XSLT stíluslapok kezelésében található hiba kihasználható memória kezelési hiba okozására és tetszőleges kód futtatására.
  8. A sérülékenységet a “Firefox Recovery Key.html” fájl nem biztonságos jogosultságokkal történő mentése okozza a Firefox Sync kulcs exportálásakor. Ez kihasználható a fájl tartalmának olvasására.
    Ez a sérülékenység csak a Firefox Linux és OS X rendszereken futó verzióit érinti.
  9. A sérülékenységet bizonyos proxyval létrehozott XMLHttpRequest objektumok kezelésekor jelentkező hiba okozza, amely kihasználható bizonyos bizalmas információk felfedésére.
    Ez a sérülékenység csak a  Mozilla Firefox 3.6.x és Mozilla Thunderbird 3.1.x verziókat érinti.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Information disclosure (Információ/adat szivárgás)
Input manipulation (Bemenet módosítás)
Other (Egyéb)
Unspecified (Nem részletezett)

Hatás

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.mozilla.org
Gyártói referencia: www.mozilla.org
Gyártói referencia: www.mozilla.org
Gyártói referencia: www.mozilla.org
Gyártói referencia: www.mozilla.org
Gyártói referencia: www.mozilla.org
Gyártói referencia: www.mozilla.org
Gyártói referencia: www.mozilla.org
SECUNIA 47816
SECUNIA 47840
SECUNIA 47839
CVE-2011-3659 - NVD CVE-2011-3659
CVE-2011-3670 - NVD CVE-2011-3670
CVE-2012-0442 - NVD CVE-2012-0442
CVE-2012-0443 - NVD CVE-2012-0443
CVE-2012-0444 - NVD CVE-2012-0444
CVE-2012-0445 - NVD CVE-2012-0445
CVE-2012-0446 - NVD CVE-2012-0446
CVE-2012-0447 - NVD CVE-2012-0447
CVE-2012-0449 - NVD CVE-2012-0449
CVE-2012-0450 - NVD CVE-2012-0450

Legfrissebb sérülékenységek
CVE-2024-20295 – Cisco IMC sérülékenysége
CVE-2024-3400 – Palo Alto Networks PAN-OS sérülékenysége
CVE-2024-3566 – Windows CreateProcess sérülékenysége
CVE-2024-22423 – yt-dlp sérülékenysége
CVE-2024-1874 – PHP sérülékenysége
CVE-2024-24576 – Rust sérülékenysége
CVE-2023-45590 – Fortinet FortiClientLinux sérülékenysége
CVE-2024-29988 – Microsoft Windows SmartScreen sérülékenysége
CVE-2024-26234 – Microsoft Windows proxy driver sérülékenysége
CVE-2023-6320 – LG webOS sérülékenysége
Tovább a sérülékenységekhez »