|
 |
|
Mozilla Firefox flere sårbarheder
|
|
|
|
|
Secunia Advisory:
|
SA27311
|
|
|
Udsendt:
|
2007-10-19
|
|
Sidste Opdt.:
|
2007-10-22
|
|
|
Kritisk:
|
Meget kritisk
|
|
Betydning:
|
Forfalskning
Manipulation af data
Afsløring af følsomme oplysninger
DoS
Systemadgang
|
|
Hvor:
|
Fra Internet
|
|
Løsning Status:
|
Producent Patch
|
|
| Software: | Mozilla Firefox 2.0.x
|
| | CVE reference: | CVE-2007-1095 (Secunia mirror)
CVE-2007-2292 (Secunia mirror)
CVE-2007-4841 (Secunia mirror)
CVE-2007-5334 (Secunia mirror)
CVE-2007-5337 (Secunia mirror)
CVE-2007-5338 (Secunia mirror)
CVE-2007-5339 (Secunia mirror)
CVE-2007-5340 (Secunia mirror)
|
|
|
Want to know the next time vulnerabilities are fixed in this product?
- Companies can be alerted via email and SMS! |
|
|
Beskrivelse:
Der er rapporteret nogle sårbarheder i Mozilla Firefox, som kan udnyttes af ondsindede personer til at få kendskab til følsom information, udføre phishing-angreb, manipulere visse data og potentielt kompromittere en brugers system.
1) Diverse fejl i browser-enginen kan udnyttes til at korrumpere hukommelsen.
2) Diverse fejl i Javascript-enginen kan udnyttes til at korrumpere hukommelsen.
Succesfuld udnyttelse af sårbarhederne kan muliggøre eksekvering af vilkårlig kode.
3) En fejl under håndteringen af onUnload-hændelser kan udnyttes til at læse og manipulere document-lokationen på nye sider.
4) Input suppleret som bruger-ID i HTTP-forespørgsler med Digest Authentication filtreres ikke korrekt, før det benyttes i en forespørgsel. Dette kan udnyttes til at indsætte vilkårlige HTTP-headers i en brugers forespørgsel, når en proxy benyttes.
5) En fejl under visning af websider skrevet i XUL markup language kan udnyttes til at gemme vinduet titelbar og udføre phishing-angreb.
6) En fejl under håndteringen af "smb:" og "sftp:" URI schemes på Linux-systemer med gnome-vfs understøttelse kan udnyttes til at læse filer ejet af brugeren.
Succesfuld udnyttelse forudsætter, at den ondsindede person har skrive-adgang til en lokation, der også er tilgængelig af brugeren, og brugeren lokkes til at loade den ondsindede side.
7) En uspecificeret fejl under håndteringen af "XPCNativeWrappers" kan udnyttes til at eksekvere vilkårlig Javascript med brugerens rettigheder via efterfølgende adgang til browserens chrome (f.eks. når brugeren højreklikker for at åbne en menu).
Dette er relateret til sårbarhed #6 i:
SA26095
Do you have this product installed on your home computer? Scan using the free Personal Software Inspector. Check if a vulnerable version is installed on computers in your corporate network, using the Network Software Inspector.
Løsning:
Opdatér til version 2.0.0.8.
NOTE: Yderligere rettelser er tilføjet for at forhindre udnyttes af URI-håndteringssårbarheden i Microsoft Windows.
Yderligere information:
SA26201
Rapporteret af / Kredit:
Producenten krediterer:
1) L. David Baron, Boris Zbarsky, Georgi Guninski, Paul Nickerson, Olli Pettay, Jesse Ruderman, Vladimir Sukhoy, Daniel Veditz, and Martijn Wargers
2) Igor Bukanov, Eli Friedman, and Jesse Ruderman
3) Michal Zalewski
4) Stefano Di Paola
5) Eli Friedman
6) Georgi Guninski
7) moz_bug_r_a4
Forløb:
22-10-2007: Tilføjede CVE-reference og links til US-CERT.
Original Advisory:
Mozilla:
http://www.mozilla.org/security/announce/2007/mfsa2007-29.html
http://www.mozilla.org/security/announce/2007/mfsa2007-30.html
http://www.mozilla.org/security/announce/2007/mfsa2007-31.html
http://www.mozilla.org/security/announce/2007/mfsa2007-33.html
http://www.mozilla.org/security/announce/2007/mfsa2007-34.html
http://www.mozilla.org/security/announce/2007/mfsa2007-35.html
http://www.mozilla.org/security/announce/2007/mfsa2007-36.html
Andre Kilder:
SA26095:
http://secunia.com/advisories/26095/
US-CERT VU#349217:
http://www.kb.cert.org/vuls/id/349217
US-CERT VU#755513:
http://www.kb.cert.org/vuls/id/755513
US-CERT VU#559977:
http://www.kb.cert.org/vuls/id/559977
|
|
|
|
|
Please note: The information that this Secunia Advisory is based on comes from a third party unless stated otherwise.
Secunia collects, validates, and verifies all vulnerability reports issued by security research groups, vendors, and others.
|
|
|
|
19 Relaterede Secunia Advisories, displaying 10
|
|
|
1. Mozilla Firefox "chrome:" katalogtraversering
|
|
2. Firefox tegnsæt-nedarvning cross-site scripting
|
|
3. Mozilla Firefox flere sårbarheder
|
|
4. Mozilla Firefox "jar:" cross-site scripting
|
|
5. Firefox "-chrome" parameter sikkerhedsproblem
|
|
6. Mozilla produkter addon chrome-loaded "about:blank" cross-context scripting
|
|
7. Mozilla Firefox flere sårbarheder
|
|
8. Firefox "wyciwyg://" URI-handler sårbarhed
|
|
9. Firefox "firefoxurl" URI-handler registrerings-sårbarhed
|
|
10. Firefox "OnKeyDown" hændelse fokus-svaghed
|
Vis alle relaterede advisories
|
|
|
Send Feedback to Secunia
|
|
Hvis du har ny information angående dette Secunia advisory eller et produkt i vores database, så send det venligst til os. Du kan sende det til os enten ved at bruge vores web formular eller ved at sende det til vuln@secunia.com.
Ideer, foreslag og andet feedback er også meget velkommen.
|
|
|
|
|
|
Secunia PSI
Scan | Patch | Track
Free Download
|
|
|
Secunia Poll
|
|
|
|
|
 |
|
|
Most Popular Advisories
|
|
|
|
|
|
