PCHappy

Mozilla Firefox/ Thunderbird /Seamonkey 多項網路安全服務(NSS)弱點

風險等級: 高度威脅

摘  要:

Mozilla 官方網站公布Mozilla Firefox/ Thunderbird/ Seamonkey 之網路安全服務(NSS)函式庫存在多項弱點,惡意人士可利用此弱點來規避安全限制,並對系統進行阻斷服務攻擊(DoS) 以及利用該函式庫影響應用程式。

目前已知會受到影響的版本為Mozilla Firefox 25.0.1 之前版本/ ESR 24.1.1 之前版本/ ESR 17.0.11 之前版本、Thunderbird 24.1.1 之前版本/ ESR 17.0.11 之前版本、Seamonkey 2.22.1 之前版本。

影響系統 :

  • Mozilla Firefox 25.0.1 之前版本
  • Mozilla Firefox ESR 24.1.1 之前版本
  • Mozilla Firefox ESR 17.0.11 之前版本
  • Mozilla Thunderbird 24.1.1 之前版本
  • Mozilla Thunderbird ESR 17.0.11 之前版本
  • Mozilla Seamonkey 2.22.1 之前版本

解決辦法: 手動下載安裝:

細節描述:

Mozilla 官方網站公布Firefox/ Thunderbird/ Seamonkey 網路安全服務函式庫存在多項弱點(3.15.3 之前版本):

  1. 透過認證解析時所產生整數截尾誤差(integer truncation error) 導致系統服務中止 。
  2. 利用空值加密(Null cipher) 錯誤導致系統緩衝區溢位(buffer overflow) ,同時允許遠端執行任意程式碼。
  3. 函式(CERT_VerifyCert()) 使用不相容Key 值的使用限制,導致函式庫無法正常驗證憑證。

遠端攻擊者可透過這些弱點在用戶系統執行任意程式碼、洩露機敏性資訊、規避部份安全限制。

參考資訊:

發表留言