Mozilla termékek sérülékenységei


2012. február 1. 13:49

CH azonosító

CH-6342

Angol cím

Multiple Mozilla Products Vulnerability

Felfedezés dátuma

2012.01.31.

Súlyosság

Magas

Érintett rendszerek

Firefox
Mozilla
SeaMonkey
Thunderbird

Érintett verziók

Mozilla Firefox3.6.x, 9.x
Mozilla Thunderbird 3.1.x, 9.x
Mozilla SeaMonkey 2.x

Összefoglaló

A Mozilla Firefox, Thunderbird és SeaMonkey olyan sérülékenységei váltak ismertté, amelyeket a rosszindulatú helyi felhasználók kihasználhatnak bizalmas információk felfedésére, valamint a támadók bizonyos biztonsági korlátozások megkerülésére, bizonyos bizalmas információk felfedésére és a felhasználó rendszerének a feltörésére.

Leírás

  1. Néhány nem részletezett hiba kihasználható memória kezelési hiba okozására. Jelenleg nem áll rendelkezésre több információ.
  2. Egy sub-frame kezelésekor jelentkező hiba kihasználható a frame navigációs házirend megkerülésére és pl. a név attribútummal egy “<iframe>” elem felfedésére.
  3. Egy felszabadulítás utáni használat miatti hiba az “AttributeChildRemoved()” eljárásban, az “nsDOMAttribute” gyermek csomópontjainak (child node) eltávolításakor, kihasználható tetszőleges kód futtatására.
  4. Az XPConnect biztonsági ellenőrzés nem megbízható objektumok hívásakor jelentkező hibája kihasználható cross-site scripting támadások kezdeményezésére.
  5. Az “mImageBufferSize()” eljárás hibája, amikor a képek “image/vnd.microsoft.icon”-ként történő kódolása történik, kihasználható bizonyos bizalmas adatok felfedésére az eredményül kapott képekből.
  6. Egy nem részletezett hiba az Ogg Vorbis fájlok dekódolásakor kihasználható memória kezelési hiba okozására és tetszőleges kód futtatására.
  7. A beágyazott XSLT stíluslapok kezelésében található hiba kihasználható memória kezelési hiba okozására és tetszőleges kód futtatására.
  8. A sérülékenységet a “Firefox Recovery Key.html” fájl nem biztonságos jogosultságokkal történő mentése okozza a Firefox Sync kulcs exportálásakor. Ez kihasználható a fájl tartalmának olvasására.
    Ez a sérülékenység csak a Firefox Linux és OS X rendszereken futó verzióit érinti.
  9. A sérülékenységet bizonyos proxyval létrehozott XMLHttpRequest objektumok kezelésekor jelentkező hiba okozza, amely kihasználható bizonyos bizalmas információk felfedésére.
    Ez a sérülékenység csak a  Mozilla Firefox 3.6.x és Mozilla Thunderbird 3.1.x verziókat érinti.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Information disclosure (Információ/adat szivárgás)
Input manipulation (Bemenet módosítás)
Other (Egyéb)
Unspecified (Nem részletezett)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.mozilla.org
Gyártói referencia: www.mozilla.org
Gyártói referencia: www.mozilla.org
Gyártói referencia: www.mozilla.org
Gyártói referencia: www.mozilla.org
Gyártói referencia: www.mozilla.org
Gyártói referencia: www.mozilla.org
Gyártói referencia: www.mozilla.org
SECUNIA 47816
SECUNIA 47840
SECUNIA 47839
CVE-2011-3659 - NVD CVE-2011-3659
CVE-2011-3670 - NVD CVE-2011-3670
CVE-2012-0442 - NVD CVE-2012-0442
CVE-2012-0443 - NVD CVE-2012-0443
CVE-2012-0444 - NVD CVE-2012-0444
CVE-2012-0445 - NVD CVE-2012-0445
CVE-2012-0446 - NVD CVE-2012-0446
CVE-2012-0447 - NVD CVE-2012-0447
CVE-2012-0449 - NVD CVE-2012-0449
CVE-2012-0450 - NVD CVE-2012-0450

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2024-53375 – TP-Link sérülékenysége
CVE-2025-4581 – Liferay sérülékenysége
CVE-2025-40605 – SonicWall Email Security sérülékenysége
CVE-2025-40604 – SonicWall Email Security sérülékenysége
CVE-2025-40601 – SonicWall SonicOS sérülékenység
CVE-2025-61757 – Oracle Fusion Middleware Missing Authentication for Critical Function sérülékenysége
CVE-2024-12912 – ASUS Router AiCloud sérülékenysége
CVE-2025-11001 – 7-Zip sérülékenysége
CVE-2025-58034 – Fortinet FortiWeb OS Command Injection sérülékenysége
Tovább a sérülékenységekhez »