Security Lab

Множественные уязвимости в Mozilla Firefox

Дата публикации:02.06.2006
Дата изменения:15.07.2008
Всего просмотров:4593
Опасность:
Высокая
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: CVE-2006-2775
CVE-2006-2776
CVE-2006-2777
CVE-2006-2778
CVE-2006-2779
CVE-2006-2780
CVE-2006-2783
CVE-2006-2785
CVE-2006-2786
CVE-2006-2787
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
Обход ограничений безопасности
Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Mozilla Firefox 0.x
Mozilla Firefox 1.x
Уязвимые версии: Mozilla Firfox 1.5.0.3 и более ранние версии.

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю повысить свои привилегии, произвести XSS нападение и скомпрометировать уязвимую систему.

1. Уязвимость существует в функции valueOf(). Удаленный пользователь может выйти за пределы песочницы и выполнить произвольный JavaScript код внутри EvalInSandbox с повышенными привилегиями.

2. Несколько ошибок обнаружено в браузере, которые позволяют злоумышленнику вызвать повреждение памяти и выполнить произвольный код на целевой системе.

3. Уязвимость существует из-за ошибки при обработке HTTP ответов. Удаленный пользователь может произвести атаку HTTP Response Splitting.

4. Две ошибки обнаружены в механизмах "View Image" и "Show only this frame". Удаленный пользователь может выполнить произвольный код сценария в браузере жертвы в контексте безопасности произвольного сайта.

5. Уязвимость существует при обработке XUL атрибутов. Удаленный пользователь может выполнить произвольный JavaScript код с повышенными привилегиями.

6. Уязвимость завышения на двойку существует в функции "crypto.signText()". Удаленный пользователь может с помощью специально сформированного сертификата вызвать переполнение буфера.

7. Уязвимость существует при конвертации символов в Unicode. Удаленный пользователь может с помощью кодировки UTF-8 выполнить произвольный код сценария в браузере жертвы.

8. Уязвимость существует из-за ошибки в addSelectionListener при обработке некоторых уведомлений. Удаленный пользователь может выполнить произвольный JacaScript код с повышенными привилегиями.

URL производителя: www.mozilla.com

Решение: Установите последнюю версию (1.5.0.4) с сайта производителя.