Érintett rendszerek
DesktopEnterprise Linux AS
Enterprise Linux ES
Enterprise Linux WS
Java Enterprise System
Java System Application Server
Java System Web Proxy Server
Java System Web Server
Red Hat
Solaris
Sun Microsystems
Érintett verziók
Red Hat Desktop 4
Red Hat Enterprise Linux AS 4
Red Hat Enterprise Linux ES 4
Red Hat Enterprise Linux WS 4
Sun Microsystems Solaris 9, 10
Sun Microsystems Java Enterprise System 5, 2003Q4, 2005Q1, 2005Q4, 2004Q2
Sun Microsystems Java System Application Server 8.1 2005Q1
Sun Microsystems Java System Web Server 6.0, 7.0
Sun Microsystems Java System Web Proxy Server 4.0
Összefoglaló
A Firefoxban számos biztonsági rést fedeztek fel, amelyet kihasználva tetszőleges kód futtatható a felhasználó jogosultságával.
Leírás
A Firefoxban számos biztonsági rést fedeztek fel, amelyet kihasználva tetszőleges kód futtatható a felhasználó jogosultságával.
- A JavaScript kód feldolgozás hibáit kihasználva egy rosszindulatú weboldal olyan JavaScriptet futtahat le, aminek hatására tetszőleges kód futtatható a felhasználó jogosultságával vagy összeomlasztható a Firefox.
- A weboldalak feldolgozásakor jelentkező cross-site scripting (XSS) hibákat kihasználva rosszindulatú weboldalakkal megtéveszthető a felhasználó, aki így bizalmas információkat, pl. jelszó, adhat ki.
- A Firefox nem megfelelően gyorsítótárazza a weboldalakat a lemezen. Egy rosszindulatú weboldallal tetszőleges HTML kódot fecskendezhet be a munkamenetbe, ha a felhasználó újratölti a célba vett oldalt.
- A Firefox nem megfelelően jelenít meg bizonyos webtartalmat. Egy rosszindulatú weboldallal elfedhetők a felhasználói felület elemi, pl. a látogatott weboldal címe vagy az oldal biztonságát jelző elemek. Ennek hatására a felhasználó azt hiheti, hogy egy másik weboldalon van.
- A letiltott felugró ablakok megjelenítésének két hibáját kihasználva tetszőleges helyi fájl tartalma olvasható vagy XSS támadás indítható a felhasználó ellen, ha megnyit egy blokkolt fölugró ablakot.
-
A Network Security Services (NSS) SSLv2 protokoll feldolgozó kódjának két puffer túlcsordulásos hibáját kihasználva tetszőleges kód futtatható a felhasználó jogosultságával, ha egy rosszindulatú biztonságos webkiszolgálóhoz csatlakozik.
Firefox. - A böngésző egyes tartomány ellenőrzései során a “location.hostname” érték kezelése hibás. Ezt kihasználva XSS támadás indítható vagy egy rosszindulatú weboldal tetszőleges weboldalakhoz állíthat be tartomány cookie-t.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Hijacking (Visszaélés)Input manipulation (Bemenet módosítás)
Other (Egyéb)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: rhn.redhat.com
CVE-2006-6077 - NVD CVE-2006-6077
CVE-2007-0008 - NVD CVE-2007-0008
CVE-2007-0009 - NVD CVE-2007-0009
CVE-2007-0775 - NVD CVE-2007-0775
CVE-2007-0777 - NVD CVE-2007-0777
CVE-2007-0778 - NVD CVE-2007-0778
CVE-2007-0780 - NVD CVE-2007-0780
CVE-2007-0800 - NVD CVE-2007-0800
CVE-2007-0981 - NVD CVE-2007-0981
CVE-2007-0995 - NVD CVE-2007-0995
CVE-2007-0996 - NVD CVE-2007-0996
