Mozilla Firefox 3 többszörös sérülékenység

CH azonosító

CH-1592

Felfedezés dátuma

2008.09.23.

Súlyosság

Magas

Érintett rendszerek

Firefox
Mozilla

Érintett verziók

Mozilla Firefox 3.x

Összefoglaló

A Mozilla Firefox több sérülékenységét jelentették, melyet kihasználva rosszindulatú támadók megkerülhetnek egyes biztonsági korlátokat, érzékeny információkhoz juthatnak, vagy feltörhetik a felhasználó rendszerét.

Leírás

A Mozilla Firefox több sérülékenységét jelentették, melyet kihasználva rosszindulatú támadók megkerülhetnek egyes biztonsági korlátokat, érzékeny információkhoz juthatnak, vagy feltörhetik a felhasználó rendszerét.

  1. Egy hibát kihasználva a JavaScript mozgatás és átméretezés funkcionalitásában, elérhető, hogy a felhasználó más gombra kattintson, mint szeretne, és pl. letöltsön egy kártékony fájlt.
  2. Több hiba kihasználható az “XPCNativeWrappers” beszennyezésére és tetszőleges script kód futtatására Chrome jogosultsággal.
  3. Több hiba az “XSLT”-ben és a “document.loadBindingDocument()” függvényben a dokumentumok készítésekor, kihasználható tetszőleges script kód futtatására Chrome jogosultsággal.
  4. Több hiba az elrendező és a JavaScript motorban, kihasználható a memóriatartalom megváltoztatására.
  5. Két hiba a kép megjelenítés megvalósításában kihasználható összeomlás okozására.
  6. Egy hiba a grafika megjelenítő motorban kihasználható összeomlás okozására
  7. A 4.-6. pontig feltüntetett sérülékenységek sikeres kihasználása estén tetszőleges kód futtatása lehetséges.

  8. Egy hiba a JavaScript kódban található BOM karakterek feldolgozásában kihasználható lehet a script szűrők megkerülésére, ezzel elősegítve egy esetleges cross-site scripting támadást.
  9. A “resource:” protokoll megvalósításának több hibája kihasználható könyvtár bejárásos támadás végrehajtásához és érzékeny információk megszerzéséhez.
  10. egy nem natív objektum zárolásakor fellépő hibát kihasználva lefagyasztható a program és tetszőleges kód futtatható, ha egy weboldal a “window.__proto__.__proto__” objektumnak speciális értéket ad.

A sérülékenységeket a 3.0.2-es verziót megelőzőekben jelentették.

Megoldás

Frissítsen a legújabb verzióra

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-7656 – Google Chrome sérülékenysége
CVE-2025-6541 – TP-Link sérülékenysége
CVE-2025-61884 – Oracle E-Business Suite Server-Side Request Forgery (SSRF) sérülékenysége
CVE-2025-2747 – Kentico Xperience CMS Authentication Bypass Using an Alternate Path or Channel sérülékenysége
CVE-2025-2746 – Kentico Xperience CMS Authentication Bypass Using an Alternate Path or Channel sérülékenysége
CVE-2022-48503 – Apple Multiple Products Unspecified sérülékenysége
CVE-2025-54957 – Dolby UDC out-of-bounds write sérülékenysége
CVE-2025-9968 – ASUS Armoury Crate sérülékenysége
CVE-2025-9337 – ASUS Armoury Crate sérülékenysége
Tovább a sérülékenységekhez »