Mozilla Firefox sérülékenységek

CH azonosító

CH-2991

Felfedezés dátuma

2010.03.23.

Súlyosság

Magas

Érintett rendszerek

Firefox
Mozilla

Érintett verziók

Mozilla Firefox 3.x

Összefoglaló

A Mozilla Firefox sérülékenységeit jelentették, amelyet támadók kihasználhatnak egyes biztonsági korlátozások megkerülésére, bizalmas információ megszerzésére vagy felhasználói rendszerek feltörésére.

Leírás

A Mozilla Firefox sérülékenységeit jelentették, amelyet támadók kihasználhatnak egyes biztonsági korlátozások megkerülésére, bizalmas információ megszerzésére vagy felhasználói rendszerek feltörésére.

  1. A WOFF karakterkészlet feldolgozásakor fellépő egész típusú túlcsordulási hiba kihasználható halom alapú (heap-based) puffer túlcsordulás előidézésére és tetszőleges kód futtatására, ha a weboldalba ágyazott WOFF karakterkészletnek túl hosszú az “origLen” mezője.
  2. Felszabadítás utáni használatból eredő hiba “multipart/x-mixed-replace” képek kezelésekor kihasználható tetszőleges kód futtatására.
  3. A “window.location” JavaScript objektum kivitelezési hibája kihasználható pluginok hozzáférési korlátozásainak megkerülésére és különböző domain és helyi rendszer adatok felfedésére.
  4. A böngészőmotor több hibája kihasználható memória kezelési hiba előidézésére és tetszőleges kód futtatására.
  5. Az “addEventListener()” és “setTimeout()” eljárások kivitelezési hibája kihasználható keretből vagy ablakból származó (cross-origin) billentyű leütések megszerzésére.
  6. A biztonsági ellenőrzések megvalósításában a képek előtöltésekor fellépő hiba kihasználható meghatározott protokollok esetében jogosultsághoz kötött műveletek egyes bővítmények általi végrehajtására.
  7. A XUL dokumentumokban használt stíluslapok hibája kihasználható a XUL gyorsítótár módosítására és a böngésző stílus attribútumainak megváltoztatására.
  8. Az asszinkron Authorization Prompt hibája kihasználható más domain HTTP hitelesítő tanúsítványainak megszerzésére.
  9. A böngésző motor több hibáját kihasználva módosíthatóa a memória tartalma és tetszőleges kód hajtható végre.
  10. A XUL fa ““-hoz csatolt “
  11. A “window.navigator.plugins” objektum kivitelezési hibáját kihasználva tetszőleges kód futtatható.
  12. A böngészővel kapcsolatos egér kattintások és “fogd és vidd” műveletek kezelésekor kezelésekor jelentkező hibát kihasználva tetszőleges script kód hajtható végre “chrome” jogosultsággal.
  13. Egy sebezhetőség oka a TLS protokoll munkamenet újraegyeztetéskor jelentkező hibája.
  14. Az XML dokumentumok feldolgozásakor jelentkező hibát kihasználva korlátozott erőforrásokhoz lehet hozzáférni és meg lehet kerülni böngésző és a telepített kiegészítők biztonsági előírásait.

    Megjegyzés: Ez javítja a “mailt.” URI-ra iránytó “src” címkével rendelkező képek hibáját is, amik így meg tudtak hívni egy külső levelező alkalmazást.
    Note: This also fixes a problem with image “src” tags pointing to resources

A sebezhetőségek a 3.6.2. előtti verziókat érintik.

Megoldás

Frissítsen a legújabb verzióra

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-24228 – Apple sebezhetősége
CVE-2025-24097 – Apple sebezhetősége
CVE-2024-20440 – Cisco Smart Licensing Utility sebezhezősége
CVE-2025-1268 – Canon sebezhetősége
CVE-2025-2783 – Google Chromium Mojo Sandbox Escape sebezhetősége
CVE-2024-20439 – Cisco Smart Licensing Utility Static Credential sebezhetősége
CVE-2025-22228 – Spring Security BCryptPasswordEncoder sebezhetősége
CVE-2025-26630 – Microsoft Access RCE sebezhetősége
CVE-2025-30154 – reviewdog/action-setup GitHub Action Embedded Malicious Code sebezhetősége
Tovább a sérülékenységekhez »