CH azonosító
CH-6342Angol cím
Multiple Mozilla Products VulnerabilityFelfedezés dátuma
2012.01.31.Súlyosság
MagasÉrintett rendszerek
FirefoxMozilla
SeaMonkey
Thunderbird
Érintett verziók
Mozilla Firefox3.6.x, 9.x
Mozilla Thunderbird 3.1.x, 9.x
Mozilla SeaMonkey 2.x
Összefoglaló
A Mozilla Firefox, Thunderbird és SeaMonkey olyan sérülékenységei váltak ismertté, amelyeket a rosszindulatú helyi felhasználók kihasználhatnak bizalmas információk felfedésére, valamint a támadók bizonyos biztonsági korlátozások megkerülésére, bizonyos bizalmas információk felfedésére és a felhasználó rendszerének a feltörésére.
Leírás
- Néhány nem részletezett hiba kihasználható memória kezelési hiba okozására. Jelenleg nem áll rendelkezésre több információ.
- Egy sub-frame kezelésekor jelentkező hiba kihasználható a frame navigációs házirend megkerülésére és pl. a név attribútummal egy “<iframe>” elem felfedésére.
- Egy felszabadulítás utáni használat miatti hiba az “AttributeChildRemoved()” eljárásban, az “nsDOMAttribute” gyermek csomópontjainak (child node) eltávolításakor, kihasználható tetszőleges kód futtatására.
- Az XPConnect biztonsági ellenőrzés nem megbízható objektumok hívásakor jelentkező hibája kihasználható cross-site scripting támadások kezdeményezésére.
- Az “mImageBufferSize()” eljárás hibája, amikor a képek “image/vnd.microsoft.icon”-ként történő kódolása történik, kihasználható bizonyos bizalmas adatok felfedésére az eredményül kapott képekből.
- Egy nem részletezett hiba az Ogg Vorbis fájlok dekódolásakor kihasználható memória kezelési hiba okozására és tetszőleges kód futtatására.
- A beágyazott XSLT stíluslapok kezelésében található hiba kihasználható memória kezelési hiba okozására és tetszőleges kód futtatására.
- A sérülékenységet a “Firefox Recovery Key.html” fájl nem biztonságos jogosultságokkal történő mentése okozza a Firefox Sync kulcs exportálásakor. Ez kihasználható a fájl tartalmának olvasására.
Ez a sérülékenység csak a Firefox Linux és OS X rendszereken futó verzióit érinti. - A sérülékenységet bizonyos proxyval létrehozott XMLHttpRequest objektumok kezelésekor jelentkező hiba okozza, amely kihasználható bizonyos bizalmas információk felfedésére.
Ez a sérülékenység csak a Mozilla Firefox 3.6.x és Mozilla Thunderbird 3.1.x verziókat érinti.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Information disclosure (Információ/adat szivárgás)Input manipulation (Bemenet módosítás)
Other (Egyéb)
Unspecified (Nem részletezett)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.mozilla.org
Gyártói referencia: www.mozilla.org
Gyártói referencia: www.mozilla.org
Gyártói referencia: www.mozilla.org
Gyártói referencia: www.mozilla.org
Gyártói referencia: www.mozilla.org
Gyártói referencia: www.mozilla.org
Gyártói referencia: www.mozilla.org
SECUNIA 47816
SECUNIA 47840
SECUNIA 47839
CVE-2011-3659 - NVD CVE-2011-3659
CVE-2011-3670 - NVD CVE-2011-3670
CVE-2012-0442 - NVD CVE-2012-0442
CVE-2012-0443 - NVD CVE-2012-0443
CVE-2012-0444 - NVD CVE-2012-0444
CVE-2012-0445 - NVD CVE-2012-0445
CVE-2012-0446 - NVD CVE-2012-0446
CVE-2012-0447 - NVD CVE-2012-0447
CVE-2012-0449 - NVD CVE-2012-0449
CVE-2012-0450 - NVD CVE-2012-0450
