Mozilla termékek többszörös sérülékenysége


2006. április 16. 22:00

CH azonosító

CH-56

Felfedezés dátuma

2006.04.16.

Súlyosság

Magas

Érintett rendszerek

Firefox
Mozilla
Mozilla Suite
SeaMonkey
Thunderbird

Érintett verziók

Mozilla Firefox 1.x
Mozilla SeaMonkey 1.x
Mozilla Thunderbird 1.x
Mozilla Mozilla Suite 1.x

Összefoglaló

A Mozilla web böngésző és a belőle származtatott termékeknek számos sérülékenysége van, a legsúlyosabb lehetővé teszi, hogy a távoli támadó az érintett rendszeren tetszőleges kódot futtasson le.

Leírás

A Mozilla web böngésző és a belőle származtatott termékeknek számos sérülékenysége van, a legsúlyosabb lehetővé teszi, hogy a távoli támadó az érintett rendszeren tetszőleges kódot futtasson le.

  1. A Mozilla JavaScript generateCRMFRequest() rutinjának sérülékenysége lehetővé teszi, hogy a távoli támadó tetszőleges kódot futtasson le.
  2. A Mozilla termékek hibásan juttatják érvényre a JavaScriptben előírt biztonsági megszorításokat. Ez a sérülékenység lehetővé teszi, hogy a távoli jogosulatlan támadó tetszőleges kódot futtasson le.
  3. A Mozilla termékek egész túlcsordulást tartalmaznak, ami lehetővé teszi, hogy a távoli, jogosulatlan támadó tetszőleges kódot futtasson le.
  4. A Mozilla termékek nem helyesen korlátozzák a hozzáféréseket az előnyben részesített XBL összeköttetésekhez. Ez a sérülékenység lehetővé teszi, hogy a távoli jogosulatlan felhasználó tetszőleges kódot futtasson le.
  5. A Mozilla termékek nem helyesen korlátozzák a hozzáférést a JavaScript függvények másolt forrásához. Ez a sérülékenység lehetővé teszi, hogy a távoli, jogosulatlan támadó a sérült rendszeren tetszőleges kódot futtasson le.
  6. A Mozilla termékek és a rajtuk alapuló programok egyes XBL eljárásokon keresztül válnak sérülékennyé, melyek lehetővé teszik, hogy a távoli jogosulatlan támadó a sérült rendszeren tetszőleges kódot futtasson le.
  7. A Mozilla termékek és a rajtuk alapuló programok sérülékenysége egyes HTML címkék kezelésekor következik be, lehetővé lehetővé teszi, hogy a távoli támadó a sérült rendszeren tetszőleges kódot futtasson le.
  8. A Mozilla termékek és a rajtuk alapuló programok sérülékenyek egyes CSS eljárások kezelésekor. Ez lehetővé teszi, hogy a távoli támadó előidézze az alkalmazás összeomlását és a sérült rendszeren tetszőleges kódot futtasson le.
  9. A Mozilla termékek DHTML kezelése több, meghatározatlan sérülékenységet tartalmaz. Ezek a sérülékenységek lehetővé teszik, hogy a távoli támadó tetszőleges kódot futtasson le vagy megteremtse a szolgáltatás megtagadás feltételeit.
  10. A Mozilla termékek tartalmaznak egy meghatározatlan sérülékenységet a megjelenítési stílusok kezelésében. Ez a sérülékenység lehetővé teszi, hogy a távoli támadó tetszőleges kódot futtasson le vagy megteremtse a szolgáltatás megtagadás feltételeit.
  11. A Mozilla termékek és a rajtuk alapuló programok JavaScript motorja a nagyméretű, reguláris kifejezések kezelésének sérülékenysége lehetővé teszi, hogy a távoli támadó az alkalmazás összeomlását idézze elő vagy a sérült rendszeren tetszőleges kódot futtasson le.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Deny of service (Szolgáltatás megtagadás)
Information disclosure (Információ/adat szivárgás)
Other (Egyéb)

Hatás

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.kb.cert.org
CVE-2006-1728 - NVD CVE-2006-1728
CVE-2006-1726 - NVD CVE-2006-1726
CVE-2006-1730 - NVD CVE-2006-1730
CVE-2006-1733 - NVD CVE-2006-1733
CVE-2006-1734 - NVD CVE-2006-1734
CVE-2006-1735 - NVD CVE-2006-1735
CVE-2006-0749 - NVD CVE-2006-0749
CVE-2006-1742 - NVD CVE-2006-1742
CVE-2006-1739 - NVD CVE-2006-1739
CVE-2006-1724 - NVD CVE-2006-1724