发布日期：2006-11-07
更新日期：2006-11-09

受影响系统：

Mozilla Firefox <= 1.5.0.7
Mozilla Thunderbird <= 1.5.0.7
Mozilla SeaMonkey <= 1.0.5

不受影响系统：

Mozilla Firefox 1.5.0.8
Mozilla Thunderbird 1.5.0.8
Mozilla SeaMonkey 1.0.6

描述：

---

BUGTRAQ  ID: 20957
CVE(CAN) ID: CVE-2006-5462,CVE-2006-5463,CVE-2006-5464,CVE-2006-5747,CVE-2006-5748

Mozilla Firefox/SeaMonkey/Thunderbird都是Mozilla发布的WEB浏览器和邮件新闻组客户端产品。

上述产品中存在多个安全漏洞，具体如下：

1) Mozilla产品中所捆绑的网络安全服务（NSS）库如果以指数3使用RSA密钥的话，就无法正确的处理签名中的额外数据，允许攻击者伪造SSL/TLS和邮件证书。这个漏洞是MFSA 2006-60中所报告RSA签名漏洞的变种。

2) 攻击者可以在执行期间修改Script对象，导致执行任意JavaScript bytecode。

3) Mozilla产品的布局引擎中的漏洞及JavaScript引擎中的内存破坏漏洞可能导致拒绝服务，或执行任意代码。

4) XML.prototype.hasOwnProperty中的安全漏洞可能导致执行任意代码。

<*来源：shutdown （shutdown@flashmail.com）
        Jesse Ruderman （jruderman@gmail.com）
        Martijn Wargers
        Igor Bukanov
  
  链接：http://www.mozilla.org/security/announce/2006/mfsa2006-65.html
        http://www.mozilla.org/security/announce/2006/mfsa2006-66.html
        http://www.mozilla.org/security/announce/2006/mfsa2006-67.html
        http://secunia.com/advisories/22722/
        http://www.us-cert.gov/cas/techalerts/TA06-312A.html
        http://lwn.net/Alerts/208342/?format=printable
        http://lwn.net/Alerts/208343
        http://lwn.net/Alerts/208345
*>

建议：

---

厂商补丁：

Mozilla
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.mozilla.org/

RedHat
------
RedHat已经为此发布了安全公告（RHSA-2006:0733-01、RHSA-2006:0734-01、RHSA-2006:0735-01）以及相应补丁:
RHSA-2006:0733-01：Critical: firefox security update
链接：http://lwn.net/Alerts/208342/?format=printable

RHSA-2006:0734-01：Critical: seamonkey security update
链接：http://lwn.net/Alerts/208343

RHSA-2006:0735-01：Critical: thunderbird security update
链接：http://lwn.net/Alerts/208345

补丁下载：

浏览次数：3016
严重程度：0（网友投票）