Érintett rendszerek
FirefoxMozilla
SeaMonkey
Thunderbird
Érintett verziók
Mozilla Firefox 1.x
Mozilla SeaMonkey 1.x
Mozilla Thunderbird 1.5.x
Összefoglaló
Jelentettek néhány sérülékenységet a Mozilla Firefoxban, Thunderbirdben és SeaMonkey-ban, amiket rosszindulatú támadók kihasználhatnak bizonyos biztonsági korlátozások megkerülésére, cross-site scripting támadások indítására és az érintett rendszer feltörésére.
Leírás
Jelentettek néhány sérülékenységet a Mozilla Firefoxban, Thunderbirdben és SeaMonkey-ban, amiket rosszindulatú támadók kihasználhatnak bizonyos biztonsági korlátozások megkerülésére, cross-site scripting támadások indítására és az érintett rendszer feltörésére.
- A használt Network Security Services (NSS) könyvtárban nincs teljesen javítva az MFSA 2006-60-ban jelentett RSA aláírás hamisítási sebezhetőség. Ezt rosszindulatú támadók kihasználhatják egyes biztonsági korlátozások megkerülésére.
- Van egy hiba a Script objektumok kezelésében. Ezt kihasználva lehetséges rosszindulatú JavaScript bytecode futtatása a már futó Script objektumok megváltoztatásával.
- A layout engine néhány nem meghatározott hibáját és memória korrupciós hibákat kihasználva a JavaScript motorban lehetséges a program lefagyasztása és rosszindulatú kód futtatása.
- Az XML.prototype.hasOwnProperty egy nem meghatározott hibáját kihasználva lehetséges rosszindulatú kód futtatása.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Authentication Issues (Hitelesítés)Deny of service (Szolgáltatás megtagadás)
Input manipulation (Bemenet módosítás)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
CVE-2006-5464 - NVD CVE-2006-5464
CVE-2006-5463 - NVD CVE-2006-5463
CVE-2006-5747 - NVD CVE-2006-5747
CVE-2006-5748 - NVD CVE-2006-5748
Gyártói referencia: www.mozilla.org
CVE-2006-5462 - NVD CVE-2006-5462
SECUNIA 22722
SECUNIA 22770