Összefoglaló
A Firefox 3 számos sérülékenységét jelentették, melyet támadók bizonyos biztonsági korlátozások megkerülésére, megtévesztéses támadásokra, továbbá a felhasználó rendszerének feltörésére használhatnak ki.
Leírás
A Firefox 3 számos sérülékenységét jelentették, melyet támadók bizonyos biztonsági korlátozások megkerülésére, megtévesztéses támadásokra, továbbá a felhasználó rendszerének feltörésére használhatnak ki.
-
A sérülékenység kihasználható például “file” vagy “chrome:” URI-k (egységes forrásazonosító) indítására a Firefox-ban.
További információt az alábbi oldalon találhat:
SA31120 -
A XUL alapú hiba oldalaknak küldött bevitel nincs megfelelően megtisztítva, mielőtt visszakerülne a felhasználóhoz. Ezt kihasználva például megtévesztéses támadás kezdeményezhető.
Az első számú sérülékenységgel kombinálva, a “chrome”-mal összefüggésben tetszőleges szkript kód befecskendezésére és tetszőleges kód végrehajtására nyílik lehetőség. Ehhez egy speciálisan összeállított URI-t kell továbbítani a Firefoxnak, amikor az nem fut.
A sérülékenységek a 3.0.1 előtti verziókat érintik.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
CVE-2008-2933 - NVD CVE-2008-2933
Gyártói referencia: www.mozilla.com
SECUNIA 31106
Gyártói referencia: www.mozilla.org
CVE-2008-3198 - NVD CVE-2008-3198