Összefoglaló
Jelentettek néhány hibát a Mozilla Firefoxban, amiket kihasználva rosszindulatú támadók spoofing és cross-site scripting támadásokat hajthatnak végre és feltörhetik a felhasználó rendszerét.
Leírás
- Több sérülékenységet ki lehet használni a memória tartalmának megváltoztatására, és így tetszőleges kód futtatására.
- A Javascript motor több sérülékenységét ki lehet használni a memória tartalmának megváltoztatására, és így tetszőleges kód futtatására.
- Egy hibát kihasználva a “addEventListener” és “setTimeout” metódusokban script kódot lehet befecskendezni egy másik oldal nevében, ezzel becsapva a böngészőt.
- Egy hibát kihasználva a cross-domain kezelésben tetszőleges script és HTML kódot lehet fecskendezni egy másik oldal sub-frame részébe.
- Egy meghatározatlan hibát kihasználva a dokumentumokon kívüli elemek kezelésében egy támadó meghívhat egy eseményvezérlőt és tetszőleges kódot futtathat chrome jogosultsággal.
- Egy meghatározatlan hiba kihasználása a “XPCNativeWrapper” kezelésében a felhasználó által szolgáltatott kód futtatásához vezethet.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Hijacking (Visszaélés)Other (Egyéb)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
CVE-2007-3734 - NVD CVE-2007-3734
CVE-2007-3735 - NVD CVE-2007-3735
Gyártói referencia: www.mozilla.org
Gyártói referencia: www.mozilla.org
Gyártói referencia: www.mozilla.org
Gyártói referencia: www.mozilla.org
Gyártói referencia: www.mozilla.org
CVE-2007-3737 - NVD CVE-2007-3737
CVE-2007-3736 - NVD CVE-2007-3736
CVE-2007-3738 - NVD CVE-2007-3738
CVE-2007-3089 - NVD CVE-2007-3089
SECUNIA 26095
