Összefoglaló
A Mozilla Firefox két fontos biztonsági hibajavítással gyarapodott. Ezek jogosulatlan távoli műveletvégrehajtásra, valamint biztonsági megkötések megkerülésére adhatnak lehetőséget.
Leírás
Az egyik biztonsági rés speciálisan összeállított “data:” URL-ekkel válhat kihasználhatóvá, és lehetőség ad a bővítmények telepítésekor szokásos módon megjelenő figyelmeztetések kiiktatására. Ennek következtében nem megbízható forrásból is felkerülhetnek kiegészítők a számítógépre.
A másik sérülékenység az átméretezéshez használt (resize) esemény kapcsán merült fel, és speciálisan szerkesztett canvas tagekkel válhat kihasználhatóvá. Amikor egy ilyen elemet tartalmazó weboldalt letölt a felhasználó, akkor memóriakezelési hiba lép fel, ami tetszőleges kódok futtatását segítheti elő.
Megoldás
A Firefox 40.0.3 vagy az ESR 38.2.1 verziói már nem tartalmazzák a fenti sérülékenységeket.
Támadás típusa
Input manipulation (Bemenet módosítás)Manipulation of data
Privilege escalation (jogosultság kiterjesztés)
System access (Rendszer hozzáférés)
execute arbitrary code
execute code
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.mozilla.org
Gyártói referencia: www.mozilla.org
Egyéb referencia: isbk.hu
CVE-2015-4497 - NVD CVE-2015-4497
CVE-2015-4498 - NVD CVE-2015-4498