Security Lab

Выполнение произвольного кода и удаление файлов в браузере Mozilla Firefox

Дата публикации:28.02.2005
Всего просмотров:3857
Опасность:
Высокая
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Уязвимые версии: Mozilla Firefox 1.0

Описание:
Уязвимости позволяют удаленному пользователю выполнить произвольный код и локальному пользователю удалить произвольные файлы на целевой системе.

1. Уязвимость в реализации XPCOM позволяет злоумышленнику с помощью специально сформированного URL выполнить произвольный код в браузере целевого пользователя.

2. Небезопасное создание временных файлов на UNIX платформах позволяет локальному пользователю создать символическую ссылку с критического файла на системе и удалить его с привилегиями пользователя, запустившего браузер.

Пример/Эксплоит: Демонстрационный эксплоит

http://www.mikx.de/firescrolling/

URL производителя: http://www.mozilla.org/products/firefox/

Решение: Установите последнюю версию с сайта производителя.

Ссылки: Mozilla Firefox XPCOM Access Flaw Lets Remote Users Execute Arbitrary Code
Mozilla Firefox Predictable Plugin Temporary Directory Lets Local Users Delete Files