Mozilla Firefox többszörös sebezhetőség

2006. szeptember 18. 22:00

CH azonosító

CH-121

Felfedezés dátuma

2006.09.18.

Súlyosság

Közepes

Érintett rendszerek

Firefox
Mozilla

Érintett verziók

Mozilla Firefox 0.x, 1.x

Összefoglaló

A Mozilla Firefox számos sebezhetőségét jelentették, melyeket támadók kihasználhatnak man-in-the-middle típusú csalások és cross-site scripting támadásokra levezetésére, valamint a felhasználó rendszerének feltörésére.

Leírás

Számos biztonsági problémákkal kapcsolatos sebezhetőséget fedeztek fel a Mozillában és a Mozillán alapuló termékekben.

A JavaScript reguláris kifejezések értelmezője tartalmaz egy hibát melyet kiaknázva egy halom túlcsordulását lehet kiváltani.

A sikeres kiaknázás káros kód futtatását teszi lehetővé.
Az automatikus frissítés SSL-t használ a biztonságos kommunikációhoz. A problémát az okozza, amikor a felhasználók elfogadnak egy ellenőrizhetetlen, saját aláírással ellátott tanúsítványt egy weboldal meglátogatásakor, így lehetővé válik, hogy a támadó átirányítsa a frissítés ellenőrzését egy rosszindulatú weboldalra man-in-the-middle típusú támadással.
Néhány idő-függő hiba a szöveg megjelenítésekor kiaknázható a memória tartalom megváltoztatására.

A sikeres kiaknázás káros kód futtatását teszi lehetővé.
A csomaghoz tartozó hálózati biztonsági szolgáltatások (NSS) könyvtár tartalmaz egy hibát, ami bizonyos aláírások ellenőrzésekor lép fel.
A domain kezelő egy hibáját kiaknázva káros HTML és script kódokat lehet beilleszteni más web oldalak al-kereteibe egy “[window].frames[index].document.open()” hívással.
A státusz sorból megnyitva a blokkolt felugró ablakokat, azok egyes esetekben nem a megfelelő környezetben nyílnak meg.Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében az érintett oldallal kapcsolatosan.
Néhány beazonosítatlan memória kezelési hibát kihasználva tetszőleges kód futtatható.