Mozilla Firefox többszörös sebezhetőség

CH azonosító

CH-121

Felfedezés dátuma

2006.09.18.

Súlyosság

Közepes

Érintett rendszerek

Firefox
Mozilla

Érintett verziók

Mozilla Firefox 0.x, 1.x

Összefoglaló

A Mozilla Firefox számos sebezhetőségét jelentették, melyeket támadók kihasználhatnak man-in-the-middle típusú csalások és cross-site scripting támadásokra levezetésére, valamint a felhasználó rendszerének feltörésére.

Leírás

Számos biztonsági problémákkal kapcsolatos sebezhetőséget fedeztek fel a Mozillában és a Mozillán alapuló termékekben.

  1. A JavaScript reguláris kifejezések értelmezője tartalmaz egy hibát melyet kiaknázva egy halom túlcsordulását lehet kiváltani.

    A sikeres kiaknázás káros kód futtatását teszi lehetővé.
  2. Az automatikus frissítés SSL-t használ a biztonságos kommunikációhoz. A problémát az okozza, amikor a felhasználók elfogadnak egy ellenőrizhetetlen, saját aláírással ellátott tanúsítványt egy weboldal meglátogatásakor, így lehetővé válik, hogy a támadó átirányítsa a frissítés ellenőrzését egy rosszindulatú weboldalra man-in-the-middle típusú támadással.
  3. Néhány idő-függő hiba a szöveg megjelenítésekor kiaknázható a memória tartalom megváltoztatására.

    A sikeres kiaknázás káros kód futtatását teszi lehetővé.
  4. A csomaghoz tartozó hálózati biztonsági szolgáltatások (NSS) könyvtár tartalmaz egy hibát, ami bizonyos aláírások ellenőrzésekor lép fel.
  5. A domain kezelő egy hibáját kiaknázva káros HTML és script kódokat lehet beilleszteni más web oldalak al-kereteibe egy “[window].frames[index].document.open()” hívással.
  6. A státusz sorból megnyitva a blokkolt felugró ablakokat, azok egyes esetekben nem a megfelelő környezetben nyílnak meg.Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében az érintett oldallal kapcsolatosan.
  7. Néhány beazonosítatlan memória kezelési hibát kihasználva tetszőleges kód futtatható.

Megoldás

Frissítsen a legújabb verzióra

Legfrissebb sérülékenységek
CVE-2023-4863 – Google Chrome sérülékenysége
CVE-2023-40186 – FreeRDP sérülékenysége
CVE-2023-20890 – VMware Aria Operations For Networks sérülékenysége
CVE-2023-34039 – VMware Aria Operations for Networks sérülékenysége
CVE-2023-23770 – Motorola MBTS Site Controller sérülékenysége
CVE-2023-38388 – JupiterX Core Premium WordPress Plugin sérülékenysége
CVE-2023-38831 – RARLabs WinRAR sérülékenysége
CVE-2023-38035 – Ivanti Sentry sérülékenysége
CVE-2023-20212 – ClamAV sérülékenysége
CVE-2023-36847 – Juniper Networks Junos OS sérülékenysége
Tovább a sérülékenységekhez »