Mozilla Firefox többszörös sebezhetőség

CH azonosító

CH-121

Felfedezés dátuma

2006.09.18.

Súlyosság

Közepes

Érintett rendszerek

Firefox
Mozilla

Érintett verziók

Mozilla Firefox 0.x, 1.x

Összefoglaló

A Mozilla Firefox számos sebezhetőségét jelentették, melyeket támadók kihasználhatnak man-in-the-middle típusú csalások és cross-site scripting támadásokra levezetésére, valamint a felhasználó rendszerének feltörésére.

Leírás

Számos biztonsági problémákkal kapcsolatos sebezhetőséget fedeztek fel a Mozillában és a Mozillán alapuló termékekben.

  1. A JavaScript reguláris kifejezések értelmezője tartalmaz egy hibát melyet kiaknázva egy halom túlcsordulását lehet kiváltani.

    A sikeres kiaknázás káros kód futtatását teszi lehetővé.
  2. Az automatikus frissítés SSL-t használ a biztonságos kommunikációhoz. A problémát az okozza, amikor a felhasználók elfogadnak egy ellenőrizhetetlen, saját aláírással ellátott tanúsítványt egy weboldal meglátogatásakor, így lehetővé válik, hogy a támadó átirányítsa a frissítés ellenőrzését egy rosszindulatú weboldalra man-in-the-middle típusú támadással.
  3. Néhány idő-függő hiba a szöveg megjelenítésekor kiaknázható a memória tartalom megváltoztatására.

    A sikeres kiaknázás káros kód futtatását teszi lehetővé.
  4. A csomaghoz tartozó hálózati biztonsági szolgáltatások (NSS) könyvtár tartalmaz egy hibát, ami bizonyos aláírások ellenőrzésekor lép fel.
  5. A domain kezelő egy hibáját kiaknázva káros HTML és script kódokat lehet beilleszteni más web oldalak al-kereteibe egy “[window].frames[index].document.open()” hívással.
  6. A státusz sorból megnyitva a blokkolt felugró ablakokat, azok egyes esetekben nem a megfelelő környezetben nyílnak meg.Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében az érintett oldallal kapcsolatosan.
  7. Néhány beazonosítatlan memória kezelési hibát kihasználva tetszőleges kód futtatható.

Megoldás

Frissítsen a legújabb verzióra

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2014-3931 – Multi-Router Looking Glass (MRLG) Buffer Overflow sérülékenysége
CVE-2016-10033 – PHPMailer Command Injection sérülékenysége
CVE-2019-5418 – Rails Ruby on Rails Path Traversal sérülékenysége
CVE-2019-9621 – Synacor Zimbra Collaboration Suite (ZCS) Server-Side Request Forgery (SSRF) sérülékenysége
CVE-2016-4484 – Linux sérülékenység
CVE-2025-32463 – Linux sérülékenység
CVE-2025-32462 – Linux sérülékenység
CVE-2025-6463 – Wordpress sérülékenység
CVE-2024-51978 – Brother sérülékenység
Tovább a sérülékenységekhez »