Security Lab

Множественные уязвимости в Mozilla Firefox 3.5

Дата публикации:02.03.2011
Дата изменения:16.01.2012
Всего просмотров:1129
Опасность:
Высокая
Наличие исправления: Да
Количество уязвимостей:9
CVSSv2 рейтинг: 10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
9.3 (AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
5.8 (AV:N/AC:M/Au:N/C:P/I:N/A:P/E:U/RL:O/RC:C)
10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
7.5 (AV:N/AC:L/Au:N/C:P/I:P/A:P/E:U/RL:O/RC:C)
CVE ID: CVE-2011-0053
CVE-2011-0051
CVE-2011-0055
CVE-2011-0054
CVE-2011-0056
CVE-2011-0057
CVE-2011-0058
CVE-2010-1585
CVE-2011-0059
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
Отказ в обслуживании
Спуфинг атака
Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Mozilla Firefox 3.5.x
Уязвимые версии: Mozilla Firefox версии до 3.5.17

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение, осуществить спуфинг атаку, вызвать отказ в обслуживании и скомпрометировать целевую систему.

Подробное описание уязвимостей:
http://www.securitylab.ru/vulnerability/405107.php #1-8, 10

URL производителя: www.mozilla.com/firefox

Решение: Установите последнюю версию 3.5.17 с сайта производителя.

Ссылки: MFSA 2011-01: Miscellaneous memory safety hazards (rv:1.9.2.14/ 1.9.1.17)
MFSA 2011-02: Recursive eval call causes confirm dialogs to evaluate to true
MFSA 2011-03: Use-after-free error in JSON.stringify
MFSA 2011-04: Buffer overflow in JavaScript upvarMap
MFSA 2011-05: Buffer overflow in JavaScript atom map
MFSA 2011-06: Use-after-free error using Web Workers
MFSA 2011-07: Memory corruption during text run construction (Windows)
MFSA 2011-08: ParanoidFragmentSink allows javascript: URLs in chrome documents
MFSA 2011-10: CSRF risk with plugins and 307 redirects
ZDI-11-103: Mozilla Firefox JSON.stringify Dangling Pointer Remote Code Execution Vulnerability
Журнал изменений: a:2:{s:4:"TEXT";s:64:"16.01.2012
Добавлены ссылки на уведомление производителя.";s:4:"TYPE";s:4:"html";}