Mozilla Firefox 3 többszörös sérülékenység


2008. szeptember 23. 22:00

CH azonosító

CH-1592

Felfedezés dátuma

2008.09.23.

Súlyosság

Magas

Érintett rendszerek

Firefox
Mozilla

Érintett verziók

Mozilla Firefox 3.x

Összefoglaló

A Mozilla Firefox több sérülékenységét jelentették, melyet kihasználva rosszindulatú támadók megkerülhetnek egyes biztonsági korlátokat, érzékeny információkhoz juthatnak, vagy feltörhetik a felhasználó rendszerét.

Leírás

A Mozilla Firefox több sérülékenységét jelentették, melyet kihasználva rosszindulatú támadók megkerülhetnek egyes biztonsági korlátokat, érzékeny információkhoz juthatnak, vagy feltörhetik a felhasználó rendszerét.

  1. Egy hibát kihasználva a JavaScript mozgatás és átméretezés funkcionalitásában, elérhető, hogy a felhasználó más gombra kattintson, mint szeretne, és pl. letöltsön egy kártékony fájlt.
  2. Több hiba kihasználható az “XPCNativeWrappers” beszennyezésére és tetszőleges script kód futtatására Chrome jogosultsággal.
  3. Több hiba az “XSLT”-ben és a “document.loadBindingDocument()” függvényben a dokumentumok készítésekor, kihasználható tetszőleges script kód futtatására Chrome jogosultsággal.
  4. Több hiba az elrendező és a JavaScript motorban, kihasználható a memóriatartalom megváltoztatására.
  5. Két hiba a kép megjelenítés megvalósításában kihasználható összeomlás okozására.
  6. Egy hiba a grafika megjelenítő motorban kihasználható összeomlás okozására

    7. A 4.-6. pontig feltüntetett sérülékenységek sikeres kihasználása estén tetszőleges kód futtatása lehetséges.

  7. Egy hiba a JavaScript kódban található BOM karakterek feldolgozásában kihasználható lehet a script szűrők megkerülésére, ezzel elősegítve egy esetleges cross-site scripting támadást.
  8. A “resource:” protokoll megvalósításának több hibája kihasználható könyvtár bejárásos támadás végrehajtásához és érzékeny információk megszerzéséhez.
  9. egy nem natív objektum zárolásakor fellépő hibát kihasználva lefagyasztható a program és tetszőleges kód futtatható, ha egy weboldal a “window.__proto__.__proto__” objektumnak speciális értéket ad.

A sérülékenységeket a 3.0.2-es verziót megelőzőekben jelentették.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Information disclosure (Információ/adat szivárgás)
Input manipulation (Bemenet módosítás)
Misconfiguration (Konfiguráció)
Other (Egyéb)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

CVE-2008-4068 - NVD CVE-2008-4068
CVE-2008-4067 - NVD CVE-2008-4067
CVE-2008-4065 - NVD CVE-2008-4065
CVE-2008-4064 - NVD CVE-2008-4064
CVE-2008-4062 - NVD CVE-2008-4062
CVE-2008-4063 - NVD CVE-2008-4063
Gyártói referencia: www.mozilla.org
Gyártói referencia: www.mozilla.org
Gyártói referencia: www.mozilla.org
Gyártói referencia: www.mozilla.org
Gyártói referencia: www.mozilla.org
CVE-2008-4058 - NVD CVE-2008-4058
CVE-2008-3837 - NVD CVE-2008-3837
CVE-2008-4061 - NVD CVE-2008-4061
CVE-2008-4060 - NVD CVE-2008-4060
SECUNIA 32011
CVE-2008-5014 - NVD CVE-2008-5014
Gyártói referencia: www.mozilla.org

Legfrissebb sérülékenységek
CVE-2026-20127 – Cisco Catalyst SD-WAN Controller and Manager Authentication Bypass sérülékenység
CVE-2022-20775 – Cisco SD-WAN Path Traversal sérülékenység
CVE-2026-21241 – Windows Ancillary Function Driver for WinSock Elevation of Privilege sérülékenység
CVE-2025-40540 – SolarWinds Serv-U Type Confusion Remote Code Execution sérülékenység
CVE-2025-40539 – SolarWinds Serv-U Type Confusion Remote Code Execution sérülékenysége
CVE-2025-40538 – SolarWinds Serv-U Broken Access Control Remote Code Execution sérülékenysége
CVE-2026-25108 – Soliton Systems K.K FileZen OS Command Injection sérülékenység
CVE-2025-68461 – RoundCube Webmail Cross-site Scripting sérülékenység
CVE-2026-22769 – Dell RecoverPoint for Virtual Machines (RP4VMs) Use of Hard-coded Credentials sérülékenység
CVE-2021-22175 – GitLab Server-Side Request Forgery (SSRF) sérülékenység
Tovább a sérülékenységekhez »