Firefox “firefoxurl” URI kezelő bejegyzések miatti sérülékenysége

CH azonosító

CH-610

Felfedezés dátuma

2007.07.09.

Súlyosság

Magas

Érintett rendszerek

Firefox
Mozilla

Érintett verziók

Mozilla Firefox 2.0.x

Összefoglaló

A Mozilla Firefox egy olyan sérülékenységét azonosították, melyet a támadók az érintett rendszer fölötti teljes ellenőrzés megszerzésére használhattak ki.

Leírás

A Firefox egy olyan sérülékenységét fedezték fel, melyet rosszindulatú emberek a felhasználó rendszerének feltörésére használhattak fel.

A problémát az okozza, hogy a Firefox bejegyzi a “firefoxurl://” URI kezelőt, amit használva a Firefox tetszőleges paraméterekkel hívható meg. A “-chrome” paraméter használatakor pl. tetszőleges Javascript futtatható le a chrome-mal összefüggésben. Ezt ki lehet használni tetszőleges parancsok lefuttatására, ha a felhasználó meglátogatja a káros web oldalt a Microsoft Internet Explorert használva.

A sérülékenységet a Firefox 2.0.0.4 verzióban bizonyították egy felfrissített Windows XP SP2 rendszeren futtatva. Más verziók is lehetnek érintettek.

Megoldás

Frissítsen a legújabb verzióra