|
Mozilla Produkte Addon "about:blank" Cross-Context-Scripting
|
|
|
|
|
Secunia Advisory:
|
SA26288
|
|
|
Herausgegeben:
|
2007-07-31
|
|
Last Update:
|
2007-12-20
|
|
|
Gefahrenstufe:
|
Mittelgradig kritisch
|
|
Auswirkung:
|
Cross-Site-Scripting
Systemzugriff
|
|
Von Wo:
|
Aus dem Internet
|
|
Lösungsstatus:
|
Hersteller-Patch
|
|
| Software: | Mozilla Firefox 2.0.x
Mozilla SeaMonkey 1.1.x
Mozilla Thunderbird 1.5.x
Mozilla Thunderbird 2.x
|
| | CVE reference: | CVE-2007-3844 (Secunia mirror)
|
|
|
Want to know the next time vulnerabilities are fixed in this product?
- Companies can be alerted via email and SMS! |
|
|
Beschreibung:
Eine Sicherheitslücke in Mozilla Produkten wurde gemeldet, die böswillige Personen potenziell ausnutzen können, um das System eines Benutzers zu kompromittieren.
Die Sicherheitslücke besteht aufgrund eines Fehlers in der Verwaltung von "about:blank"-Seiten die durch Chrome in Addons geladen werden. Diese kann ausgenutzt werden, um Scriptcode mit Chrome-Privilegien auszuführen, wenn ein Benutzer z.B. auf einen Link in einem in einem "about:blank"-Fenster klickt, das auf eine bestimmte Art durch ein Addon erstellt und gefüllt wurde.
Eine erfolgreiche Ausnutzung setzt voraus, dass bestimmte Addons installiert sind.
Die Sicherheitslücke wurde in den folgenden Produkten und Versionen gemeldet.
* Firefox 2.0.0.5
* Thunderbird 2.0.0.5
* Thunderbird 1.5.0.x
* SeaMonkey 1.1.3
Do you have this product installed on your home computer? Scan using the free Personal Software Inspector. Check if a vulnerable version is installed on computers in your corporate network, using the Network Software Inspector.
Lösung:
Aktualisieren Sie auf die neuesten Versionen:
Firefox:
Aktualisieren Sie auf Version 2.0.0.6.
http://www.mozilla.com/en-US/firefox/
Thunderbird:
Aktualisieren Sie auf Version 2.0.0.6.
http://www.mozilla.com/en-US/thunderbird/
Thunderbird:
Aktualisieren Sie auf Version 1.5.0.13.
http://www.mozilla.com/en-US/thunderbird/
SeaMonkey:
Behoben in Version 1.1.4.
http://www.mozilla.org/projects/seamonkey/
Hinweis: Mit Version 2.0.0.6 wurden Änderungen zu Firefox und Thunderbird hinzugefügt, die eine Ausnutzung einer Sicherheitslücke in der URI-Verarbeitung in Microsoft Windows verhindern.
Weitere Informationen:
SA26201
Gemeldet und/oder entdeckt von:
moz_bug_r_a4
Änderungen:
2007-07-31: "Beschreibung" aktualisiert. Link zur neuen Advisory vom Hersteller hinzugefügt.
2007-08-02: "Lösung" für Thunderbird 2.0.0.6 aktualisiert..
2007-10-24: "Lösung" für SeaMonkey aktualisiert.
2007-12-20: Advisory aktualisiert. Thunderbird 1.5.x zur Liste der betroffenen Produkte hinzugefügt.
Original Advisory:
http://www.mozilla.org/security/announce/2007/mfsa2007-26.html
http://www.mozilla.org/security/announce/2007/mfsa2007-27.html
https://bugzilla.mozilla.org/show_bug.cgi?id=388121
Andere Referenzen:
SA26201:
http://secunia.com/advisories/26201/
|
|
|
|
|
Please note: The information that this Secunia Advisory is based on comes from a third party unless stated otherwise.
Secunia collects, validates, and verifies all vulnerability reports issued by security research groups, vendors, and others.
|
|
|
|
42 Related Secunia Security Advisories, displaying 10
|
|
|
1. Mozilla Firefox Javascript Garbage-Collector Sicherheitslücke
|
|
2. Mozilla Thunderbird Mehrere Sicherheitslücken
|
|
3. Mozilla SeaMonkey Mehrere Sicherheitslücken
|
|
4. Mozilla Firefox Mehrere Sicherheitslücken
|
|
5. Mozilla Thunderbird MIME-Verarbeitung Pufferüberlauf-Sicherheitslücke
|
|
6. Mozilla SeaMonkey mehrere Sicherheitslücken
|
|
7. Mozilla Thunderbird mehrere Sicherheitslücken
|
|
8. Mozilla Firefox Mehrere Sicherheitslücken
|
|
9. Mozilla Firefox "chrome:" Directory-Traversal Sicherheitsproblem
|
|
10. Thunderbird Mehrere Sicherheitslücken
|
Show all related advisories
|
|
|
Send Feedback to Secunia
|
|
If you have new information regarding this Secunia advisory or a product in our database, please send it to us using either our web form or email us at vuln@secunia.com.
Ideas, suggestions, and other feedback are most welcome.
|
|
|
|
