Множественные уязвимости в продуктах Mozilla

Дата публикации:
07.06.2012
Дата изменения:
07.06.2012
Всего просмотров:
1322
Опасность:
Высокая
Наличие исправления:
Да
Количество уязвимостей:
13
CVSSv2 рейтинг:
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:H/Au:N/C:P/I:P/A:N/E:U/RL:O/RC:C) = Base:4/Temporal:3
(AV:N/AC:M/Au:N/C:P/I:P/A:P/E:U/RL:O/RC:C) = Base:6.8/Temporal:5
(AV:N/AC:M/Au:N/C:P/I:P/A:P/E:U/RL:O/RC:C) = Base:6.8/Temporal:5
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:H/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) = Base:2.6/Temporal:1.9
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:10/Temporal:7.4
CVE ID:
CVE-2011-3101
CVE-2012-0441
CVE-2012-1937
CVE-2012-1938
CVE-2012-1939
CVE-2012-1940
CVE-2012-1941
CVE-2012-1942
CVE-2012-1943
CVE-2012-1944
CVE-2012-1945
CVE-2012-1946
CVE-2012-1947
Вектор эксплуатации:
Удаленная
Воздействие:
Отказ в обслуживании
Раскрытие важных данных
Повышение привилегий
Обход ограничений безопасности
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Mozilla Firefox 10.x
Mozilla SeaMonkey 2.x
Mozilla Thunderbird 10.x
Уязвимые версии:
Mozilla Firefox 10.0.5
Mozilla Thunderbird 10.0.5
Mozilla SeaMonkey 2.10

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю скомпрометировать целевую систему.

1. Уязвимость существует из-за неизвестных ошибок в движке браузера. Удаленный пользователь может вызвать повреждение памяти и выполнить произвольный код на целевой системе.

2. Уязвимость существует из-за того, что неуспешной вставки, связанной с отсутствием jsinfer.cpp. Удаленный пользователь может вызвать повреждение памяти и выполнить произвольный код на целевой системе.

3. Уязвимость существует из-за неизвестных ошибок в движке браузера. Удаленный пользователь может вызвать повреждение памяти и выполнить произвольный код на целевой странице

4. Уязвимость существует из-за ошибки, связанной с графическим драйвером NVIDIA в glBufferData. С более подробным описанием уязвимости можно ознакомиться по адресу:
http://www.securitylab.ru/vulnerability/424582.php, №18

5. Уязвимость существует из-за ошибки в функционале обновления Mozilla. Удаленный пользователь может загрузить модуль wsock32.dll с директории приложения в привилегированном контексте.

6. Уязвимость существует из-за ошибки в функционале обновления Mozilla. Удаленный пользователь может загрузить произвольный DLL модуль в контексте службы.

7. Уязвимость существует из-за ошибки во внутристрочной функции блокирования Content Security Policy (CSP). Удаленный пользователь может обойти защиту от атак межсайтового скриптинга.

8. Уязвимость существует из-за ошибки при загрузке HTML страниц из общих папок Windows. Удаленный пользователь может с помощью специально сформированного iframe тега раскрыть содержимое локальных файлов.

9. Уязвимость существует из-за ошибки использования после освобождения в nsINode::ReplaceOrInsertBefore при замене или вставке узла в документ и выполнить произвольный код на целевой системе.

10. Уязвимость существует из-за ошибки в QuickDER декодере. Network Security Services (NSS) ASN.1 некорректно обрабатывает элементы с длинной в ноль.

11. Уязвимость существует из-за ошибки в utf16_to_isolatin1 при конвертировании из Unicode в нативные наборы символов. Удаленный пользователь может с вызвать переполнение динамической памяти и выполнить произвольный код на целевой системе.

12. Уязвимость существует из-за ошибки использования после освобожденияя в nsFrameList::FirstChild при обработке разметки колонок с абсолютным позиционированием внутри контейнера, который изменяет размер.

13. Уязвимость существует из-за ошибки в nsHTMLReflowState::CalculateHypotheticalBox, когда окно изменяет размер на странице с гнездовыми столбцами с помощью абсолютного и относительного позиционирования. Удаленный пользователь может вызвать переполнение динамической памяти и выполнить произвольный код на целевой системе.

URL производителя: http://www.mozilla.org/

Решение: Для устранения уязвимости установите Firefox версии 10.0.5, Thunderbird версии 10.0.5, или SeaMonkey версии 2.10 с сайта производителя.

Ссылки: http://www.mozilla.org/security/announce/2012/mfsa2012-34.html
http://www.mozilla.org/security/announce/2012/mfsa2012-35.html
http://www.mozilla.org/security/announce/2012/mfsa2012-36.html
http://www.mozilla.org/security/announce/2012/mfsa2012-37.html
http://www.mozilla.org/security/announce/2012/mfsa2012-38.html
http://www.mozilla.org/security/announce/2012/mfsa2012-39.html
http://www.mozilla.org/security/announce/2012/mfsa2012-40.html

или введите имя

CAPTCHA