PCHappy

Mozilla Firefox/ Thunderbird存在系統存取的弱點

風險等級: 高度威脅

摘  要:

Mozilla 官方網站公布Mozilla Firefox/ Thunderbird 存在繞過安全性限制、系統存取等弱點,惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後,便可執行任意程式碼、提升權限、規避部份安全限制等讓使用者系統受駭之安全性弱點。

目前已知會受到影響的版本為Mozilla Firefox 23.x /Thunderbird 17.X (含)之前版本。

影響系統 :

  • Mozilla Firefox 23.x (含)之前版本
  • Mozilla Thunderbird 17.x (含)之前版本

解決辦法: 手動下載安裝:

細節描述:

Mozilla 官方網站公布Firefox/ Thunderbird 存在繞過安全性限制、系統存取等弱點,該弱點起因於

  1. HTML 5 中的特定函式可以被利用來導致堆積緩衝區溢位(heap-based buffer overflow) 。
  2. ANGLE (Almost Native Graphics Layer Engine) 函式,存在整數溢位錯誤(integer overflow error) 。
  3. 動畫管理器、HTMLSelectElement 物件的特定函式、處理捲動圖片文件檔的特定函式存在使用釋放後記憶體錯誤(use-after-free) 。
  4. 特定函式、呼叫新的Javascript 物件時產生的錯誤會發生記憶體損毀(corrupt memory) 問題。
  5. Mozilla 的更新應用程序沒有適當限制存取MAR 更新文件,攻擊者可以利用漏洞獲得權限的提升,通過簽名檢查後更換MAR 更新文件。
  6. OS X 上的NVIDIA 顯卡驅動程序內的錯誤,攻擊者可以利用漏洞獲得潛在敏感信息。
  7. 移動XBL-backed 節點造成特定函式存在錯誤,可能被用來執行任意程式碼。
  8. 處理結合清單、浮點數、多欄的特定函式存在錯誤,可能導致緩衝區溢位(buffer overflow) 。
  9. DOM proxies 未預期錯誤可以被利用來繞過某些安全限制。 尚有其它弱點未一一列出。

惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後,便可執行任意程式碼、洩露機敏性資訊、規避部份安全限制。

參考資訊:

Mozilla
Secunia

發表留言