安全研究
安全漏洞
Mozilla Thunderbird/Seamonkey/Firefox 2.0.0.13版本修复多个安全漏洞
发布日期:2008-03-26
更新日期:2008-03-27
受影响系统:
Mozilla Firefox <= 2.0.0.12不受影响系统:
Mozilla Thunderbird <= 2.0.0.12
Mozilla SeaMonkey <= 1.1.8
Mozilla Firefox 2.0.0.13描述:
Mozilla Thunderbird 2.0.0.13
Mozilla SeaMonkey 1.1.9
BUGTRAQ ID: 28448
CVE(CAN) ID: CVE-2008-1241,CVE-2008-1240,CVE-2007-4879,CVE-2008-1238,CVE-2008-1236,CVE-2008-1237,CVE-2008-1233,CVE-2008-1234,CVE-2008-1235
Firefox/Thunderbird/SeaMonkey是Mozilla所发布的WEB浏览器和邮件/新闻组客户端。
Firefox中的多个安全漏洞允许恶意用户泄露敏感信息、绕过安全限制、执行欺骗攻击或入侵用户系统。由于代码共享,Thunderbird和SeaMonkey也受这些漏洞的影响。
1) XPCNativeWrappers调用中的安全漏洞可能允许通过setTimeout()调用以用户权限执行任意Javascript代码。
2) Javascript引擎中的各种错误可能导致内存破坏,允许用户执行任意代码。
3) 如果向URL发送请求的HTTP Referer:头的Basic Authentication凭据中用户名为空的话,就可以绕过跨站请求伪造防护。
4) 在创建到请求了SSL客户端认证的Web服务器的连接时,Firefox提供了之前配置的私有SSL证书,这可能导致泄露敏感信息。
5) jar:协议处理中的错误可能导致创建到本地机器上任意端口的连接。
6) 在显示XUL弹出窗口时的错误可能被利用隐藏窗口边界,这有助于钓鱼攻击。
<*来源:moz_bug_r_a4 (moz_bug_r_a4@yahoo.com)
Chris Thomas
Tom Ferris (tommy@security-protocols.com)
Alexander Klink (a.klink@cynops.de)
georgi
链接:http://secunia.com/advisories/29526/
http://secunia.com/advisories/29548/
http://secunia.com/advisories/29547/
http://www.mozilla.org/security/announce/2008/mfsa2008-19.html
http://www.mozilla.org/security/announce/2008/mfsa2008-18.html
http://www.mozilla.org/security/announce/2008/mfsa2008-17.html
http://www.mozilla.org/security/announce/2008/mfsa2008-16.html
http://www.mozilla.org/security/announce/2008/mfsa2008-14.html
http://www.mozilla.org/security/announce/2008/mfsa2008-15.html
https://www.redhat.com/support/errata/RHSA-2008-0207.html
*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
https://bugzilla.mozilla.org/attachment.cgi?id=291347
https://bugzilla.mozilla.org/attachment.cgi?id=291348
建议:
厂商补丁:
Mozilla
-------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.mozilla.org/
RedHat
------
RedHat已经为此发布了一个安全公告(RHSA-2008:0207-01)以及相应补丁:
RHSA-2008:0207-01:Critical: firefox security update
链接:https://www.redhat.com/support/errata/RHSA-2008-0207.html
浏览次数:2748
严重程度:0(网友投票)
绿盟科技给您安全的保障