Mozilla Firefox többszörös sérülékenység


2008. július 1. 22:00

CH azonosító

CH-1363

Felfedezés dátuma

2008.07.01.

Súlyosság

Magas

Érintett rendszerek

Firefox
Mozilla

Érintett verziók

Mozilla Firefox 2.x

Összefoglaló

Néhány sérülékenységet találtak a Mozilla Firefox-ban, amiket rosszindulatú támadók XSS támadásra, információ szerzésre, biztonsági beállítások megkerülésére használhatnak fel, esetlegesen feltörhetik a sérülékeny rendszert.

Leírás

Néhány sérülékenységet találtak a Mozilla Firefoxban.

  1. Több, meg nem határozott sérülékenység memória hivatkozási hibát vagy program lefagyást okozhat. Jelenleg erről nincs több információ.
  2. Egy nem részletezett hibát kihasználva “fastload” file-ok használatakor scriptek tölthetők be Chrome jogosultsággal.
  3. Egy nem részletezett hiba van a “mozIJSSubScriptLoader.loadSubScript()” függvényben, amit tetszőleges kód futtatására lehet kihasználni.
  4. Egy nem részletezett hiba a “File location” URL-ek könyvtár listából megszerzésekor lép fel, ha azokból nem lett megfelelően kilépve.
  5. Egy hiba van a block reflow folyamatban, amit a böngésző összeomlasztására vagy tetszőleges kód futtatására lehet használni.
  6. Egy nem részletezett hiba miatt XSS támadást lehet indítani a JavaScripten keresztül.
  7. Egy nem részletezett hiba van a “signed JAR tampering”-el kapcsolatban. További információk jelenleg nincsenek.
  8. Egy nem részletezett hibát kihasználva tetszőleges file-okat lehet feltölteni specialisan szerkesztett “DOM range” és “originalTarget” segítségével.
  9. Egy hiba van a Java LiveConnect implementációban, a Mac OS X verzióban, amit tetszőleges socket megnyitására lehet felhasználni.
  10. Egy kezdőérték nélküli memória hozzáférés megy végbe egy hibás “.properties” file betöltésekor.
  11. Egy hiba az “Alt Names” feldolgozása közben, amit egy “peer” szolgáltat megbízható aláírásként, kihasználható oldal hamisításos támadásra.
  12. Egy hibát a Windows URL parancsikonok kezelésében arra lehet felhasználni, hogy egy távoli site-ot helyi file-ként futtassunk.
    A hiba kihasználásához egy rosszindulatú Windows URL parancsikon letöltése és megnyitása szükséges.

A sérülékenységek a 2.0.0.15. verzió előtti kiadásokat érintik.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Input manipulation (Bemenet módosítás)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.mozilla.org
SECUNIA 30911
US-CERT 607267

Legfrissebb sérülékenységek
CVE-2026-0625 – D-Link DSL Command Injection via DNS Configuration Endpoint sérülékenység
CVE-2020-12812 – Fortinet FortiOS SSL VPN Improper Authentication sérülékenysége
CVE-2025-14733 – WatchGuard Firebox Out of Bounds Write sérülékenység
CVE-2023-52163 – Digiever DS-2105 Pro Missing Authorization sérülékenység
CVE-2025-14847 – MongoDB and MongoDB Server Improper Handling of Length Parameter Inconsistency sérülékenység
CVE-2025-40602 – SonicWall SMA1000 Missing Authorization sérülékenysége
CVE-2025-59374 – ASUS Live Update Embedded Malicious Code sérülékenysége
CVE-2025-20393 – Cisco Multiple Products Improper Input Validation sérülékenysége
CVE-2025-58360 – OSGeo GeoServer Improper Restriction of XML External Entity Reference sérülékenysége
CVE-2018-4063 – Sierra Wireless AirLink ALEOS Unrestricted Upload of File with Dangerous Type sérülékenysége
Tovább a sérülékenységekhez »