Összefoglaló
A Mozilla Firefox olyan sérülékenységeit jelentették, amelyeket a támadók kihasználva feltörhetik a felhasználó sérülékeny rendszerét.
Leírás
- A böngésző motor több sérülékenységét kihasználva megváltoztatható a memória tartalma és tetszőleges kód futtatása lehetséges.
- A WebGLES könyvtár egy árnyaló (shader) betöltése során fellépő hibáját kihasználva puffer túlcsordulás idézhető elő és tetszőleges kód futtatása lehetséges.
- A libGLESv2 egy ciklushibáját (off-by-three error) kihasználva megváltoztatható a memória tartalma és tetszőleges kód futtatása lehetséges.
Megjegyzés: A “generate-id()” XPath függvény (libxslt) egy hibáját kihasználva a futási időben dinamikusan kezelt memória terület bizonyos címei kiszivárogtathatóak.
A sérülékenységeket a 4.0.1 verziónál korábbiakban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Misconfiguration (Konfiguráció)
Security bypass (Biztonsági szabályok megkerülése)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 44406
CVE-2011-0068 - NVD CVE-2011-0068
CVE-2011-0069 - NVD CVE-2011-0069
CVE-2011-0070 - NVD CVE-2011-0070
CVE-2011-0079 - NVD CVE-2011-0079
CVE-2011-0081 - NVD CVE-2011-0081
CVE-2011-1202 - NVD CVE-2011-1202
Gyártói referencia: www.mozilla.org
Gyártói referencia: www.mozilla.org
Gyártói referencia: www.mozilla.org