Множественные уязвимости в Mozilla Firefox
| Дата публикации: | 08.02.2008 |
| Дата изменения: | 26.01.2010 |
| Всего просмотров: | 3384 |
| Опасность: | Высокая |
| Наличие исправления: | Да |
| Количество уязвимостей: | 1 |
| CVE ID: |
CVE-2008-0412 CVE-2008-0413 CVE-2008-0414 CVE-2008-0415 CVE-2008-0416 CVE-2008-0419 CVE-2008-0420 CVE-2008-0591 CVE-2008-0593 |
| Вектор эксплуатации: | Удаленная |
| Воздействие: |
Межсайтовый скриптинг Отказ в обслуживании Раскрытие важных данных Обход ограничений безопасности Спуфинг атака Компрометация системы |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | Mozilla Firefox 2.0.x |
| Уязвимые версии: Mozilla Firefox версии до 2.0.0.12
Описание: 1. Обнаружены различные ошибки в движке браузера. Удаленный пользователь может с помощью специально сформированного Web сайта вызвать повреждение памяти и выполнить произвольный код на целевой системе. 2. Уязвимость существует из-за различных ошибок в реализации Javascript. Удаленный пользователь может с помощью специально сформированного Web сайта вызвать повреждение памяти и выполнить произвольный код на целевой системе. 3. Уязвимость существует из-за ошибки дизайна при обработке фокуса. Злоумышленник может обманом заставить пользователя загрузить произвольные файлы на сервер. 4. Уязвимость существует из-за ошибки в реализации Javascript. Злоумышленник может выполнить произвольный Javascript код с привилегиями "chrome". 5. Уязвимость существует из-за ошибки в реализации Javascript. Удаленный пользователь может с помощью функции "XMLDocument.load()" обойти ограничения «same-origin» политики. 6. Уязвимость существует из-за ошибки при обработке графических изображений, когда пользователь покидает страницу, использующую "designMode" фремы. Злоумышленник может получить доступ к истории посещения страниц пользователя, вызвать повреждение памяти и выполнить произвольный код на целевой системе. 7. Уязвимость существует из-за ошибки дизайна, связанной с использованием таймера в диалоговых окнах. Злоумышленник может обманом заставить пользователя нажать на кнопку в диалоговом окне безопасности. 8. Уязвимость существует из-за того, что браузер следует "302" перенаправлению для загрузки файлов стилей и позволяет чтение целевого URL посредством "element.sheet.href". Злоумышленник может получить доступ к потенциально важным параметрам URL. 9. Уязвимость существует из-за ошибки при обработке цветовых палитр в bitmap. Удаленный пользователь может просмотреть содержимое некоторых участков памяти. 10. Уязвимость существует из-за различных ошибок при обработке определенных HTML символов. Удаленный пользователь может обойти XSS фильтры. URL производителя: www.mozilla.com/en-US/firefox/ Решение: Установите последнюю версию 2.0.0.12 с сайта производителя. Журнал изменений:
06.03.2008 |
|
| Ссылки: |
Mozilla Foundation Security Advisory 2008-01 Mozilla Foundation Security Advisory 2008-02 Mozilla Foundation Security Advisory 2008-03 Mozilla Foundation Security Advisory 2008-05 Mozilla Foundation Security Advisory 2008-06 Mozilla Foundation Security Advisory 2008-08 Mozilla Foundation Security Advisory 2008-10 Mozilla Foundation Security Advisory 2008-07 |
|
|
http://www.mozilla.org/security/announce/2008/mfsa2008-13.html http://vexillium.org/?sec-ff http://www.kb.cert.org/vuls/id/879056 http://jvn.jp/jp/JVN21563357/index.html |