安全研究
安全漏洞
Mozilla Firefox 3.0.6版本修复多个安全漏洞
发布日期:2009-02-03
更新日期:2009-02-05
受影响系统:
Mozilla Firefox < 3.0.6不受影响系统:
Mozilla Thunderbird < 2.0.0.21
Mozilla SeaMonkey < 1.1.15
Mozilla Firefox 3.0.6描述:
Mozilla Thunderbird 2.0.0.21
Mozilla SeaMonkey 1.1.15
BUGTRAQ ID: 33598
CVE(CAN) ID: CVE-2009-0352,CVE-2009-0353,CVE-2009-0354,CVE-2009-0355,CVE-2009-0356,CVE-2009-0357,CVE-2009-0358
Firefox是Mozilla所发布的开源WEB浏览器。
Firefox中的多个安全漏洞允许恶意用户泄露敏感信息、绕过安全限制或入侵用户系统。由于代码共享,Thunderbird和SeaMonkey也受这些漏洞的影响。
1) 布局引擎和Javascript引擎中的错误可能导致内存破坏并执行任意代码。
2) 攻击者可以结合window.eval使用chrome XBL方式以其他站点的环境执行任意Javascript代码。
3) 在恢复关闭标签页时的错误可能导致修改输入控件的文本值,当用户重新打开标签页时这可能允许泄露本地文件的内容。
4) 处理快捷方式文件时的错误可能允许攻击者通过加载特权chrome文档的HTML文件以chrome权限执行任意脚本代码。
5) Javascript可通过XMLHttpRequest.getResponseHeader和XMLHttpRequest.getAllResponseHeaders API读取标记为HTTPOnly的cookie。
6) Firefox忽略了某些不要缓存网页的HTTP指令(HTTPS页面为Cache-Control: no-store和Cache-Control: no-cache),这可能允许通过缓存的页面泄露敏感信息。
<*来源:Georgi Guninski (guninski@guninski.com)
moz_bug_r_a4 (moz_bug_r_a4@yahoo.com)
Wladimir Palant
链接:http://secunia.com/advisories/33799/
http://www.mozilla.org/security/announce/2009/mfsa2009-01.html
http://www.mozilla.org/security/announce/2009/mfsa2009-02.html
http://www.mozilla.org/security/announce/2009/mfsa2009-03.html
http://www.mozilla.org/security/announce/2009/mfsa2009-04.html
http://www.mozilla.org/security/announce/2009/mfsa2009-05.html
http://www.mozilla.org/security/announce/2009/mfsa2009-06.html
https://www.redhat.com/support/errata/RHSA-2009-0257.html
https://www.redhat.com/support/errata/RHSA-2009-0256.html
*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
建议:
厂商补丁:
Mozilla
-------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.mozilla.org/
RedHat
------
RedHat已经为此发布了一个安全公告(RHSA-2009:0256-01)以及相应补丁:
RHSA-2009:0256-01:Critical: firefox security update
链接:https://www.redhat.com/support/errata/RHSA-2009-0256.html
浏览次数:2650
严重程度:0(网友投票)
绿盟科技给您安全的保障