Firefox biztonsági frissítés

CH azonosító

CH-465

Felfedezés dátuma

2007.03.31.

Súlyosság

Közepes

Érintett rendszerek

Desktop
Enterprise Linux AS
Enterprise Linux ES
Enterprise Linux WS
Java Enterprise System
Java System Application Server
Java System Web Proxy Server
Java System Web Server
Red Hat
Solaris
Sun Microsystems

Érintett verziók

Red Hat Desktop 4
Red Hat Enterprise Linux AS 4
Red Hat Enterprise Linux ES 4
Red Hat Enterprise Linux WS 4
Sun Microsystems Solaris 9, 10
Sun Microsystems Java Enterprise System 5, 2003Q4, 2005Q1, 2005Q4, 2004Q2
Sun Microsystems Java System Application Server 8.1 2005Q1
Sun Microsystems Java System Web Server 6.0, 7.0
Sun Microsystems Java System Web Proxy Server 4.0

Összefoglaló

A Firefoxban számos biztonsági rést fedeztek fel, amelyet kihasználva tetszőleges kód futtatható a felhasználó jogosultságával.

Leírás

A Firefoxban számos biztonsági rést fedeztek fel, amelyet kihasználva tetszőleges kód futtatható a felhasználó jogosultságával.

  1. A JavaScript kód feldolgozás hibáit kihasználva egy rosszindulatú weboldal olyan JavaScriptet futtahat le, aminek hatására tetszőleges kód futtatható a felhasználó jogosultságával vagy összeomlasztható a Firefox.
  2. A weboldalak feldolgozásakor jelentkező cross-site scripting (XSS) hibákat kihasználva rosszindulatú weboldalakkal megtéveszthető a felhasználó, aki így bizalmas információkat, pl. jelszó, adhat ki.
  3. A Firefox nem megfelelően gyorsítótárazza a weboldalakat a lemezen. Egy rosszindulatú weboldallal tetszőleges HTML kódot fecskendezhet be a munkamenetbe, ha a felhasználó újratölti a célba vett oldalt.
  4. A Firefox nem megfelelően jelenít meg bizonyos webtartalmat. Egy rosszindulatú weboldallal elfedhetők a felhasználói felület elemi, pl. a látogatott weboldal címe vagy az oldal biztonságát jelző elemek. Ennek hatására a felhasználó azt hiheti, hogy egy másik weboldalon van.
  5. A letiltott felugró ablakok megjelenítésének két hibáját kihasználva tetszőleges helyi fájl tartalma olvasható vagy XSS támadás indítható a felhasználó ellen, ha megnyit egy blokkolt fölugró ablakot.
  6. A Network Security Services (NSS) SSLv2 protokoll feldolgozó kódjának két puffer túlcsordulásos hibáját kihasználva tetszőleges kód futtatható a felhasználó jogosultságával, ha egy rosszindulatú biztonságos webkiszolgálóhoz csatlakozik.
    Firefox.
  7. A böngésző egyes tartomány ellenőrzései során a “location.hostname” érték kezelése hibás. Ezt kihasználva XSS támadás indítható vagy egy rosszindulatú weboldal tetszőleges weboldalakhoz állíthat be tartomány cookie-t.

Megoldás

Frissítsen a legújabb verzióra