Security Lab

Множественные уязвимости в продуктах Mozilla

Дата публикации:14.03.2012
Всего просмотров:2240
Опасность:
Высокая
Наличие исправления: Да
Количество уязвимостей:9
CVSSv2 рейтинг: 10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
4.3 (AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C)
10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
5 (AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:O/RC:C)
4.3 (AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C)
10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
6.4 (AV:N/AC:L/Au:N/C:P/I:P/A:N/E:U/RL:O/RC:C)
10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
CVE ID: CVE-2012-0451
CVE-2012-0454
CVE-2012-0455
CVE-2012-0456
CVE-2012-0457
CVE-2012-0458
CVE-2012-0459
CVE-2012-0460
CVE-2012-0461
CVE-2012-0462
CVE-2012-0463
CVE-2012-0464
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
Раскрытие важных данных
Обход ограничений безопасности
Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Mozilla Firefox 10.x
Mozilla SeaMonkey 2.x
Mozilla Thunderbird 10.x
Уязвимые версии:
Mozilla Firefox 10.x
Mozilla SeaMonkey 2.x
Mozilla Thunderbird 10.x

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.

1. Уязвимость существует из-за ошибки использования после освобождения в shlwapi.dll при закрытии окна, использующего диалоговое окно открытого файла. Удаленный пользователь может выполнить произвольный код на системе.

2. Уязвимость существует из-за ошибки при обработке определенных действий drag&drop. Удаленный пользователь может осуществить атаку межсайтового скриптинга.

3. Уязвимость существует из-за ошибки использование после освобождения в функции nsSMILTimeValueSpec::ConvertBetweenTimeContainers(). Удаленный пользователь может с помощью специально сформированного SVG файла выполнить произвольный код на целевой системе.

4. Уязвимость существует из-за ошибки использования после освобождения в SVG. Удаленный пользователь может раскрыть определенные данные.

5. Уязвимость существует из-за ошибки при обработке Content Security Policy заголовках. Удаленный пользователь может осуществить атаку межсайтового скриптинга.

6. Уязвимость существует из-за ошибки при обработке javascript: домашней страницы. Удаленный пользователь может выполнить код сценария в контексте about:sessionrestore и выполнить произвольный код на целевой системе.

7. Уязвимость существует из-за неизвестной ошибки в cssText в keyframe после динамического обновления. Удаленный пользователь может выполнить произвольный код на целевой системе.

8. Уязвимость существует из-за недостаточной обработки политик mozRequestFullscreen в свойстве window.fullScreen. Удаленный пользователь может обойти ограничения безопасности на системе.

9. Уязвимость существует из-за множественных неизвестных ошибок. Удаленный пользователь может вызвать повреждение памяти и выполнить произвольный код на системе.

URL производителя: http://www.mozilla.com/

Решение: Для устранения уязвимости установите Firefox версии 11.0 или 10.0.3, Thunderbird версии 11.0 или 10.0.3, SeaMonkey версии 2.8 с сайта с сайта производителя.

Ссылки: http://www.mozilla.org/security/announce/2012/mfsa2012-12.html
http://www.mozilla.org/security/announce/2012/mfsa2012-13.html
http://www.mozilla.org/security/announce/2012/mfsa2012-14.html
http://www.mozilla.org/security/announce/2012/mfsa2012-15.html
http://www.mozilla.org/security/announce/2012/mfsa2012-16.html
http://www.mozilla.org/security/announce/2012/mfsa2012-17.html
http://www.mozilla.org/security/announce/2012/mfsa2012-18.html
http://www.mozilla.org/security/announce/2012/mfsa2012-19.html