Mozilla 產品 NSS 程式碼執行及繞過保安限制漏洞
最後更新
2011年01月28日
發佈日期:
2009年08月04日
2669
觀看次數
風險: 中度風險
在 Mozilla Firefox、Thunderbird及Seamonkey 發現兩個漏洞,遠端攻擊者可利用漏洞繞過保安限制或控制受影響的系統。這些漏洞是由NSS發生錯誤所引致。
1. 由於檢查被到訪網站的主機名稱是否與顯示憑證的一般名稱(CN)吻合時,正規表達式分析出現堆積滿溢。攻擊者可透過惡意憑證來執行任意程式碼。
2. 由於處理憑證內的零字元時出現錯誤,會允許中間人(man-in-the-middle)攻擊。
影響
- 阻斷服務
- 遠端執行程式碼
- 繞過保安限制
受影響之系統或技術
- Mozilla Firefox 3.x 版本
- Mozilla Thunderbird 2.x 版本
- Mozilla SeaMonkey 1.x 版本
解決方案
在安裝軟體之前,請先瀏覽軟體供應商之網站,以獲得更多詳細資料。
Mozilla Firefox – 升級至Mozilla Firefox 3.5 版本:
http://www.mozilla.com/firefox/Mozilla SeaMonkey - 不要瀏覽不信任的網站
Mozilla Thunderbird - 不要開啟不信任來源的電郵
漏洞識別碼
資料來源
相關連結
分享至