Mozilla Firefox / Thunderbird / SeaMonkey többszörös sérülékenységei

CH azonosító

CH-10505

Angol cím

Mozilla Firefox / Thunderbird / SeaMonkey Multiple Vulnerabilities

Felfedezés dátuma

2014.02.04.

Súlyosság

Magas

Érintett rendszerek

Firefox
Mozilla
SeaMonkey
Thunderbird

Érintett verziók

Mozilla Firefox 24.x
Mozilla SeaMonkey 2.x
Mozilla Thunderbird 24.x

Összefoglaló

A Mozilla Firefox, Thunderbird, és SeaMonkey néhány sérülékenysége vált ismertté, melyeket kihasználva a támadók megkerülhetnek biztonsági szabályokat, és feltörhetik a felhasználó rendszerét.

Leírás

  1. Néhány nem részletezett hiba kihasználható a memória tartalmának megváltoztatására.
  2. Néhány további nem részletezett hiba is kihasználható a memória felülírásra.
  3. Egy hiba jelentkezik, amikor az XML Binding Language (XBL) kezelésre kerül, ez kihasználható biztonsági szabályok megkerülésére.
  4. Egy hiba jelentkezik, amikor a dobott “RasterImage” osztály kezelésre kerül, ami kihasználható memória tartalmának megváltoztatására.
  5. Egy hiba jelentkezik, a “document.caretPositionFromPoint()” és “document.elementFromPoint()” függvényeknél ami kihasználható szabályok megkerülésére, és ezáltal elérhetőek lesznek bizonyos attribútumok az iframe elemkben.
  6. Egy hiba jelentkezik, amikor a XSLT stylesheets kezelésre kerül, ez kihasználható Content Security Policy (CSP) megkerülésére és ez álltal tetszőleges kód futtatható.
  7. Egy hiba jelentkezik, amikor amikor bizonyos tartalmak a “imgRequestProxy()” függvényt használják, ez kihasználható a memória tartalmának megváltoztatására.
  8. Egy hiba jelentkezik, amikor a web workers’ hiba üzenet kezelésre kerül. Ez kihasználható szabályok megkerülésére, és nyílvánosságra kerülhetnek elérhetetlen információk.
  9. Egy hiba jelentkezik a asm.js kódnál, ami kihasználható a memória tartalmának megváltoztatására.
  10. Egy versenyhelyzet hiba jelentkezik, amikor a session tickets kezelésre kerül a libssl-ben, ez kihasználható a memória tartalmának megváltoztatására.
  11. Egy hiba jelentkezik, amikor a Java script kerül kezelésre, ami kihasználható nem részletezett biztonsági szabályok megkerülésére.
  • A #2, #5, #6, és #9 sérülékenységek kizárólag a SeaMankey programhoz tartoznak.
  • #1, #2, #4, #7, #9, and #10 sérülékenységek sikeres kihasználásával tetszőleges kód futtatható.

További sérülékenység áll fenn, amikor a letöltött fájlok ablaka kezelésre kerül, ez kihasználható arra, hogy a letöltött fájlok clickjacking támadással megnyithatók legyenek.

A sérülékenységeket a Firefox ESR  24.3 előtti verziójából, a Thunderbird 24.3 előtti verziójából, valamint a SeaMonkey 2.24. előtti verziójából jelentették.

Megoldás

Frissítsen a legújabb verzióra

Megoldás

Frissítsen a javított verzióra.

Hivatkozások

Gyártói referencia: www.mozilla.org
Gyártói referencia: www.mozilla.org
Gyártói referencia: www.mozilla.org
Gyártói referencia: www.mozilla.org
Gyártói referencia: www.mozilla.org
Gyártói referencia: www.mozilla.org
Gyártói referencia: www.mozilla.org
Gyártói referencia: www.mozilla.org
Gyártói referencia: www.mozilla.org
Gyártói referencia: www.mozilla.org
Gyártói referencia: www.mozilla.org
SECUNIA 56767
CVE-2014-1477 - NVD CVE-2014-1477
CVE-2014-1478 - NVD CVE-2014-1478
CVE-2014-1479 - NVD CVE-2014-1479
CVE-2014-1481 - NVD CVE-2014-1481
CVE-2014-1482 - NVD CVE-2014-1482
CVE-2014-1483 - NVD CVE-2014-1483
CVE-2014-1485 - NVD CVE-2014-1485
CVE-2014-1486 - NVD CVE-2014-1486
CVE-2014-1487 - NVD CVE-2014-1487
CVE-2014-1488 - NVD CVE-2014-1488
CVE-2014-1490 - NVD CVE-2014-1490


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-47827 – IGEL OS Use of a Key Past its Expiration Date sérülékenysége
CVE-2025-24990 – Microsoft Windows Untrusted Pointer Dereference sérülékenysége
CVE-2025-59230 – Microsoft Windows Improper Access Control sérülékenysége
CVE-2025-6264 – Rapid7 Velociraptor Incorrect Default Permissions sérülékenysége
CVE-2016-7836 – SKYSEA Client View Improper Authentication sérülékenysége
CVE-2025-7330 – Rockwell NAT CSRF sérülékenysége
CVE-2025-7329 – Rockwell NAT cross-site scripting sérülékenysége
CVE-2025-7328 – Rockwell NAT hiányzó autentikáció sérülékenység
CVE-2011-3402 – Microsoft Windows Remote Code Execution sérülékenysége
Tovább a sérülékenységekhez »