Security Lab

Выполнение произвольного кода в Mozilla Firefox

Дата публикации:10.07.2007
Дата изменения:09.02.2009
Всего просмотров:3956
Опасность:
Высокая
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Mozilla Firefox 2.0.x
Уязвимые версии: Mozilla Firefox версии до 2.0.0.5

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.

Уязвимость существует из-за ошибки в обработчике URL FirefoxURL на системах с установленным браузером Mozilla Firefox. Удаленный пользователь может с помощью специально сформированной Web страницы изменить путь к Mozilla Firefox и выполнить произвольный код на целевой системе. Пример:

http://larholm.com/vuln/firefoxurl.html

URL производителя: www.mozilla.com

Решение: Установите последнюю версию 2.0.0.5 с сайта производителя.

Ссылки: Internet Explorer 0day Exploit
MFSA 2007-23: Remote code execution by launching Firefox from Internet Explorer
iDefense Security Advisory 07.19.07: Multiple Vendor Multiple Product URI Handler Input Validation Vulnerability

http://larholm.com/2007/07/10/internet-explorer-0day-exploit/
http://www.xs-sniper.com/sniperscope/IE-Pwns-Firefox.html
http://www.kb.cert.org/vuls/id/358017