Множественные уязвимости в Mozilla Firefox

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю обойти некоторые ограничения безопасности, произвести XSS нападение и спуфинг атаку, повысить свои привилегии и выполнить произвольный код на целевой системе.

1. Уязвимость существует из-за ошибок, которые могут позволить злоумышленнику вызвать повреждение памяти и выполнить произвольный код на целевой системе.

2. Уязвимость существует из-за ошибки при обработке слишком длинных строк в функции document.write. Удаленный пользователь может вызвать переполнение стека и выполнить произвольный код на целевой системе.

3. Уязвимость существует из-за того, что свойство locationbar объекта window остается доступным после его закрытия. Удаленный пользователь может выполнить произвольный код на системе.

4. Уязвимость существует из-за отсутствия проверки данных в функции LookupGetterorSetter() во время создания и удаления JavaScript объекта, что приводит к передаче устаревшего указателя функции JS_ValueToId(). Удаленный пользователь может вызвать "window.__lookupGetter__" без аргументов и выполнить произвольный код на системе.

5. Уязвимость существует из-за ошибки в Gopher обработчике во время генерации HTML тегов из текста. Удаленный пользователь может произвести XSS нападение.

6. Уязвимость существует из-за ошибки при обработке модальных вызовов посредством "javascript:" URL. Удаленный пользователь может обойти ограничения политики единства происхождения и получить доступ к потенциально важным данным другого сайта.

7. Уязвимость существует из-за использования уязвимого кода Network Security Services (NSS). Подробное описание уязвимости:
www.securitylab.ru/vulnerability/399212.php

8. Уязвимость существует из-за того, что приложение используется относительные пути для подключения библиотек. Злоумышленник может обманом заставить пользователя запустить приложение из директории, в которой находится специально сформированная библиотека, и повысить свои привилегии на системе. Уязвимость распространяется только на Windows версию.

9. Уязвимость существует из-за того, что сценарий, использующийся для запуска приложения на Linux системах, устанавливает небезопасным образом переменную окружения LD_LIBRARY_PATH. Злоумышленник может обманом заставить пользователя запустить приложение в директории, содержащей вредоносную библиотеку, и повысить свои привилегии на системе. Уязвимость распространяется только на Linux версию приложения.

10. Уязвимость существует из-за того, что реализация SSL функционала позволяет использование Diffie-Hellman Ephemeral (DHE) алгоритма с недостаточно безопасными ключами.

URL производителя: www.mozilla.com/firefox

Решение: Установите последнюю версию 3.5.14 или 3.6.11 с сайта производителя.