Mozilla Firefox 3 többszörös sérülékenység


2008. szeptember 23. 22:00

CH azonosító

CH-1592

Felfedezés dátuma

2008.09.23.

Súlyosság

Magas

Érintett rendszerek

Firefox
Mozilla

Érintett verziók

Mozilla Firefox 3.x

Összefoglaló

A Mozilla Firefox több sérülékenységét jelentették, melyet kihasználva rosszindulatú támadók megkerülhetnek egyes biztonsági korlátokat, érzékeny információkhoz juthatnak, vagy feltörhetik a felhasználó rendszerét.

Leírás

A Mozilla Firefox több sérülékenységét jelentették, melyet kihasználva rosszindulatú támadók megkerülhetnek egyes biztonsági korlátokat, érzékeny információkhoz juthatnak, vagy feltörhetik a felhasználó rendszerét.

  1. Egy hibát kihasználva a JavaScript mozgatás és átméretezés funkcionalitásában, elérhető, hogy a felhasználó más gombra kattintson, mint szeretne, és pl. letöltsön egy kártékony fájlt.
  2. Több hiba kihasználható az “XPCNativeWrappers” beszennyezésére és tetszőleges script kód futtatására Chrome jogosultsággal.
  3. Több hiba az “XSLT”-ben és a “document.loadBindingDocument()” függvényben a dokumentumok készítésekor, kihasználható tetszőleges script kód futtatására Chrome jogosultsággal.
  4. Több hiba az elrendező és a JavaScript motorban, kihasználható a memóriatartalom megváltoztatására.
  5. Két hiba a kép megjelenítés megvalósításában kihasználható összeomlás okozására.
  6. Egy hiba a grafika megjelenítő motorban kihasználható összeomlás okozására

    7. A 4.-6. pontig feltüntetett sérülékenységek sikeres kihasználása estén tetszőleges kód futtatása lehetséges.

  7. Egy hiba a JavaScript kódban található BOM karakterek feldolgozásában kihasználható lehet a script szűrők megkerülésére, ezzel elősegítve egy esetleges cross-site scripting támadást.
  8. A “resource:” protokoll megvalósításának több hibája kihasználható könyvtár bejárásos támadás végrehajtásához és érzékeny információk megszerzéséhez.
  9. egy nem natív objektum zárolásakor fellépő hibát kihasználva lefagyasztható a program és tetszőleges kód futtatható, ha egy weboldal a “window.__proto__.__proto__” objektumnak speciális értéket ad.

A sérülékenységeket a 3.0.2-es verziót megelőzőekben jelentették.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Information disclosure (Információ/adat szivárgás)
Input manipulation (Bemenet módosítás)
Misconfiguration (Konfiguráció)
Other (Egyéb)

Hatás

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

CVE-2008-4068 - NVD CVE-2008-4068
CVE-2008-4067 - NVD CVE-2008-4067
CVE-2008-4065 - NVD CVE-2008-4065
CVE-2008-4064 - NVD CVE-2008-4064
CVE-2008-4062 - NVD CVE-2008-4062
CVE-2008-4063 - NVD CVE-2008-4063
Gyártói referencia: www.mozilla.org
Gyártói referencia: www.mozilla.org
Gyártói referencia: www.mozilla.org
Gyártói referencia: www.mozilla.org
Gyártói referencia: www.mozilla.org
CVE-2008-4058 - NVD CVE-2008-4058
CVE-2008-3837 - NVD CVE-2008-3837
CVE-2008-4061 - NVD CVE-2008-4061
CVE-2008-4060 - NVD CVE-2008-4060
SECUNIA 32011
CVE-2008-5014 - NVD CVE-2008-5014
Gyártói referencia: www.mozilla.org

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2024-20439 – Cisco Smart Licensing Utility Static Credential sebezhetősége
CVE-2025-22228 – Spring Security BCryptPasswordEncoder sebezhetősége
CVE-2025-26630 – Microsoft Access RCE sebezhetősége
CVE-2025-30154 – reviewdog/action-setup GitHub Action Embedded Malicious Code sebezhetősége
CVE-2025-30066 – tj-actions/changed-files GitHub Action Embedded Malicious Code sebezhetősége
CVE-2025-24472 – Fortinet FortiOS and FortiProxy Authentication Bypass sebezhetősége
CVE-2017-12637 – SAP NetWeaver Directory Traversal sebezhetősége
CVE-2024-48248 – NAKIVO Backup and Replication Absolute Path Traversal sebezhetősége
CVE-2025-1316 – Edimax IC-7100 IP Camera OS Command Injection sebezhetősége
Tovább a sérülékenységekhez »