Множественные уязвимости в Mozilla Firefox

Дата публикации:
18.07.2012
Дата изменения:
25.07.2012
Всего просмотров:
1919
Опасность:
Высокая
Наличие исправления:
Да
Количество уязвимостей:
18
CVSSv2 рейтинг:
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:L/Au:N/C:P/I:P/A:P/E:U/RL:O/RC:C) = Base:7.5/Temporal:5.5
(AV:N/AC:L/Au:N/C:P/I:P/A:P/E:U/RL:O/RC:C) = Base:7.5/Temporal:5.5
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:M/Au:N/C:P/I:P/A:P/E:U/RL:O/RC:C) = Base:6.8/Temporal:5
(AV:N/AC:M/Au:N/C:P/I:P/A:P/E:U/RL:O/RC:C) = Base:6.8/Temporal:5
(AV:N/AC:M/Au:N/C:P/I:N/A:N/E:U/RL:O/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:O/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:10/Temporal:7.4
CVE ID:
CVE-2012-1948
CVE-2012-1949
CVE-2012-1950
CVE-2012-1951
CVE-2012-1952
CVE-2012-1953
CVE-2012-1954
CVE-2012-1955
CVE-2012-1957
CVE-2012-1958
CVE-2012-1959
CVE-2012-1960
CVE-2012-1961
CVE-2012-1962
CVE-2012-1963
CVE-2012-1964
CVE-2012-1965
CVE-2012-1966
CVE-2012-1967
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
Раскрытие важных данных
Обход ограничений безопасности
Спуфинг атака
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Mozilla Firefox 13.x
Уязвимые версии: Mozilla Firefox версий до 14.0.1

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.

1. Уязвимость существует из-ща неизвестных ошибок в движке браузера. Удаленный пользователь может вызвать повреждение памяти и выполнить произвольный код на целевой системе.

2. Уязвимость существует из-за ошибки событий drug&drop. Удаленный пользователь может подменить содержимое адресной строки.

3. Уязвимость существует из-за ошибки использования после освобождения в функции "nsSMILTimeValueSpec::IsEventBased()".

4. Уязвимость существует из-за ошибки использования после освобождения в функции nsDocument::AdoptNode() при обработке документированных загрузок.

5. Уязвимость существует из-за ошибки чтения за пределами границ данных в функции ElementAnimations::EnsureStyleRuleFor(). Удаленный пользователь может вызвать переполнение динамической памяти и выполнить произвольный код на целевой системе.

6. Уязвимость существует из-за ошибки в функции nsTableFrame::InsertFrames(). Удаленный пользователь может вызвать повреждение памяти и выполнить произвольный код на целевой системе.

7. Уязвимость существует из-за ошибки при обработке истории навигации. Удаленный пользователь может осуществить подмену адресной строки.

8. Уязвимость существует из-за ошибки в функционале контекстного меню. Удаленный пользователь может с помощью URL "data:".

9. Уязвимость существует из-за ошибки в функционале просмотра лент. Удаленный пользователь может осуществить атаку межсайтового скриптинга.

10. Уязвимость существует из-за ошибки использования после освобождения в функции nsGlobalWindow::PageHidden() при обработке событий фокуса.

11. Уязвимость существует из-за ошибки при обработке отсеков. Удаленный пользователь может обойти определенные (SCSW).

12. Уязвимость существует из-за ошибки чтения за пределами границ данных в библиотеке управления шрифтами. Удаленный пользователь может раскрыть содержимое определенной памяти.

13. Уязвимость существует из-за ошибки при обработке заголовков X-Frame-Options. Удаленный пользователь может осуществить атаку хищения кликов.

14. Уязвимость существует из-за ошибки в функции JSDependentString::undepend() при конвертации зависимой строки в фиксированную строк. Удаленный пользователь может вызвать повреждение памяти и выполнить произвольный код на целевой системе.

15. Уязвимость существует из-за ошибки в реализации Content Security Policy (CSP), которая включает конфиденциальную информацию в параметре blocked-uri. Удаленный пользователь может раскрыть OAuth 2.0 токены пользователя, а также учетные данные OpenID.

16. Уязвимость существует из-за шибки при обработке исключений сертификата. Удаленный пользователь может с помощью страницы about:certerror осуществить хищение кликов.

17. Уязвимость существует из-за ошибки при обработке «лент». Удаленный пользователь может с помощью URL адресов обойти фильтры output и выполнить произвольный JavaScript код.

18. Уязвимость существует из-за неизвестной ошибки в движке браузера. Удаленный пользователь может обойти JavaScript песочницу и с помощью URL javascript: выполнить произвольный код на целевой системе.

URL производителя: http://www.mozilla.org/

Решение: Для устранения уязвимостей установите продукт версии 14.0.1 с сайта производителя.

Ссылки: http://www.mozilla.org/security/announce/2012/mfsa2012-42.html
http://www.mozilla.org/security/announce/2012/mfsa2012-43.html
http://www.mozilla.org/security/announce/2012/mfsa2012-44.html
http://www.mozilla.org/security/announce/2012/mfsa2012-45.html
http://www.mozilla.org/security/announce/2012/mfsa2012-46.html
http://www.mozilla.org/security/announce/2012/mfsa2012-47.html
http://www.mozilla.org/security/announce/2012/mfsa2012-48.html
http://www.mozilla.org/security/announce/2012/mfsa2012-49.html
http://www.mozilla.org/security/announce/2012/mfsa2012-50.html
http://www.mozilla.org/security/announce/2012/mfsa2012-51.html
http://www.mozilla.org/security/announce/2012/mfsa2012-52.html
http://www.mozilla.org/security/announce/2012/mfsa2012-53.html
http://www.mozilla.org/security/announce/2012/mfsa2012-54.html
http://www.mozilla.org/security/announce/2012/mfsa2012-55.html
http://www.mozilla.org/security/announce/2012/mfsa2012-56.html

или введите имя

CAPTCHA