PCHappy

Mozilla Firefox /Firefox ESR /Thunderbird /SeaMonkey 存在暴露機敏資訊的弱點,請使用者儘速更新!

風險等級: 高度威脅

摘  要:

Mozilla Firefox /Firefox ESR /Thunderbird /SeaMonkey 存在暴露機敏資訊的弱點,惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後,便可執行任意程式碼、提升權限、規避部份安全限制等讓使用者系統受駭之安全性弱點。

目前已知會受到影響的版本為Mozilla Firefox 22.x (含)之前版本、Mozilla Firefox ESR /Thunderbird 17.x (含)之前版本、 Mozilla SeaMonkey 2.x (含)之前版本。

影響系統 :

  • Mozilla Firefox 23.0 之前版本
  • Mozilla Firefox ESR 17.0.8 之前版本
  • Mozilla SeaMonkey 2.20 之前版本
  • Mozilla Thunderbird 17.0.8 之前版本

解決辦法: 手動下載安裝:

細節描述:

Mozilla 近日對Firefox 、Firefox ESR 、Thunderbird 、SeaMonkey 發布多項弱點,該弱點起因於 (1)非預期錯誤可能被利用來導致記憶體毀損(memory corruption)。 (2)在SetBody 轉變事件的期間,修改文件物件模型會出現使用釋放後記憶體錯誤(use-after-free error)。 (3)在某些參數中產生一個CRMF (認證需求信息格式)會存在使用釋放後記憶體錯誤。 (4)在維修服務和Mozilla 更新中的錯誤,可能導致堆疊緩衝區溢位(stack based buffer overflows) 並執行任意程式代碼。 (5)框架的未明錯誤可能會被利用來進行詐騙式攻擊。 (6)請求某些參數而產生CRMF (Certificate Request Message Format) 時發生未知錯誤。 (7)處理XBL 範圍產生的錯誤,可能被利用來繞過XrayWrappers 。 (8)藉由某些Javascript 組件驗證URI (Uniform Resouce Identifier) 的某些錯誤,可能被利用來繞過同網域限制(same-origin policy) 。 尚有其它弱點未一一列出。 惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後,便可執行任意程式碼、洩露機敏性資訊、規避部份安全限制。

參考資訊:

Mozilla
Secunia

發表留言