Mozilla 產品執行程式碼及繞過保安限制漏洞
最後更新
2011年01月28日
發佈日期:
2010年02月19日
2567
觀看次數
風險: 中度風險
在 Mozilla Firefox,Thunderbird 及 SeaMonkey 發現多個漏洞,攻擊者可利用漏洞修改或洩露某些資料、繞過保安限制或控制受影響的系統。
1. 由於分析異常的資料時 JavaScript 及瀏覽器引擎會產生記憶體損毀錯誤,攻擊者可利用漏洞終止受影響的瀏覽器或執行任意程式碼。
2. 由於執行 Web Workers 時產生堆陣損毀錯誤,攻擊者可利用漏洞終止受影響的瀏覽器或執行任意程式碼。
3. 由於 HTML 分析器產生使用已釋放的記憶體內容錯誤 (use-after-free error),攻擊者可利用漏洞終止受影響的瀏覽器或執行任意程式碼。
4. 由於產生有關呼叫 "dialogArguments()" 函數的錯誤,攻擊者可利用漏洞進行跨網域程式碼攻擊 (cross domain scripting attacks)。
5.由於處理以特製的 "Content-Type" 嵌入其他文件的 SVG文件時產生錯誤,攻擊者可利用漏洞進行跨網域程式碼攻擊 (cross domain scripting attacks)。
影響
- 遠端執行程式碼
- 繞過保安限制
受影響之系統或技術
- Mozilla Firefox 3.6 之前的版本
- Mozilla Firefox 3.5.8 之前的版本
- Mozilla Firefox 3.0.18 之前的版本
- Mozilla Thunderbird 3.0.2 之前的版本
- Mozilla SeaMonkey 2.0.3 之前的版本
解決方案
在安裝軟體之前,請先瀏覽軟體供應商之網站,以獲得更多詳細資料。
- 升級至 Mozilla Firefox 3.6, 3.5.8 或 3.0.18 版本 :
- http://www.mozilla.com/firefox/ - 升級至 Mozilla Thunderbird 3.0.2 版本 :
- http://www.mozilla.com/thunderbird - 升級至 Mozilla SeaMonkey 2.0.3 版本 :
- http://www.mozilla.org/projects/seamonkey/
漏洞識別碼
資料來源
相關連結
- http://www.vupen.com/english/advisories/2010/0405
- http://secunia.com/advisories/38657/
- http://secunia.com/advisories/38656/
- http://secunia.com/advisories/37242/
- http://www.mozilla.org/security/announce/2010/mfsa2010-05.html
- http://www.mozilla.org/security/announce/2010/mfsa2010-04.html
- http://www.mozilla.org/security/announce/2010/mfsa2010-03.html
- http://www.mozilla.org/security/announce/2010/mfsa2010-02.html
- http://www.mozilla.org/security/announce/2010/mfsa2010-01.html
分享至