Mozilla Firefox többszörös sérülékenység


2009. február 3. 23:00

CH azonosító

CH-1926

Felfedezés dátuma

2009.02.03.

Súlyosság

Magas

Érintett rendszerek

Firefox
Mozilla

Érintett verziók

Mozilla Firefox 3.x

Összefoglaló

A Mozilla Firefox több sérülékenységét jelentették, melyet kihasználva rosszindulatú, helyi felhasználók érzékeny információkhoz juthatnak, valamint támadók cross-site scripting támadásokat indíthatnak, megkerülhetnek egyes biztonsági korlátokat, érzékeny információkhoz juthatnak vagy feltörhetik a felhasználó rendszerét.

Leírás

A Mozilla Firefox több sérülékenységét jelentették, melyet kihasználva rosszindulatú, helyi felhasználók érzékeny információkhoz juthatnak, valamint támadók cross-site scripting támadásokat indíthatnak, megkerülhetnek egyes biztonsági korlátokat, érzékeny információkhoz juthatnak vagy feltörhetik a felhasználó rendszerét.

  1. Az elrendezés (layout) motor több sérülékenysége kihasználható, a memória tartalmának módosítására és tetszőleges kód futtatására.
  2. A Javascript motor több sérülékenysége kihasználható, a memória tartmának módosítására és tetszőleges kód futtatására.
  3. A chrome XBL eljárás és a “windows.eval” együttes használata tetszőleges Javascript kód futtatását eredményezheti, egy másik weboldallal kapcsolatosan.
  4. A bezárt lapfülek adatainak megőrzésekor jelentkező hiba kihasználható a bemenet vezérlők szöveg értékeinek módosítására, amely pl. felfedi egy helyi fájl tartalmát, ha a felhasználó újból megnyitja a bezárt lapfüleket.
  5. A shortcutok feldolgozásában jelentkező hiba kihasználható, tetszőleges script kód futtatására chrome jogosultágokkal, pl. egy .desktop shortcuton keresztül chrome jogosultságokkal rendelkező dokumentumot betöltő HTML dokumentum segítségével.

    Ezzel kapcsolatos egy régebbi bejelentés:
    Secunia SA32192

  6. Egy biztonsági probléma oka, hogy a “HTTPOnly”-val megkülönböztetett cookie-k olvashatóak Javascripttel az “XMLHttpRequest.getResponseHeader” és az “XMLHttpRequest.getAllResponseHeaders” API-kon keresztül.
  7. Egy biztonsági probléma oka, hogy a Firefox nem tart be egyes HTTP irányelveket a dokumentumok gyorsítótárazásával kapcsolatban (“Cache-Control: no-store” és “Cache-Control: no-cache” a HTTPS oldalakhoz). Ezt kihasználva bizalmas információk nyerhetők ki a gyorsítótárazott oldalakból.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Hijacking (Visszaélés)
Input manipulation (Bemenet módosítás)
Misconfiguration (Konfiguráció)
Other (Egyéb)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

CVE-2009-0352 - NVD CVE-2009-0352
CVE-2009-0353 - NVD CVE-2009-0353
SECUNIA 32192
SECUNIA 33799
Gyártói referencia: www.mozilla.org
Gyártói referencia: www.mozilla.org
Gyártói referencia: www.mozilla.org
Gyártói referencia: www.mozilla.org
Gyártói referencia: www.mozilla.org
CVE-2009-0354 - NVD CVE-2009-0354
Gyártói referencia: www.mozilla.org
CVE-2009-0355 - NVD CVE-2009-0355
CVE-2009-0356 - NVD CVE-2009-0356
CVE-2009-0357 - NVD CVE-2009-0357
CVE-2009-0358 - NVD CVE-2009-0358

Legfrissebb sérülékenységek
CVE-2025-55182 – Meta React Server Components Remote Code Execution sérülékenysége
CVE-2025-59505 – Windows Smart Card Reader Elevation of Privilege sérülékenysége
CVE-2025-59511 – Windows WLAN Service Elevation of Privilege sérülékenysége
CVE-2021-26828 – OpenPLC ScadaBR Unrestricted Upload of File with Dangerous Type sérülékenysége
CVE‑2025‑13486 – WordPress Advanced Custom Fields: Extended plugin sérülékenység
CVE-2025-8489 – WordPress King Addons for Elementor plugin sérülékenysége
CVE-2025-9491 – Microsoft Windows LNK File UI Misrepresentation Remote Code Execution sebezhetősége
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2021-26829 – OpenPLC ScadaBR Cross-site Scripting sérülékenysége
CVE-2024-53375 – TP-Link sérülékenysége
Tovább a sérülékenységekhez »