PCHappy

Mozilla Firefox/ Thunderbird /Seamonkey 存在多項弱點

風險等級: 高度威脅

摘  要:

  • Mozilla Firefox/ Thunderbird/ Seamonkey 存在多項弱點,可被惡意人士利用進而造成敏感資料洩漏、執行XSS 攻擊、規避安全防護及損害受害者的系統。
  • 目前已知會受到影響的版本為Mozilla Firefox 26 之前版本、Firefox ESR 24.2 之前版本、Thunderbird 24.2 之前版本、Seamonkey 2.23 之前版本。

影響系統 :

  • Mozilla Firefox 26 之前版本
  • Mozilla Firefox ESR 24.2 之前版本
  • Mozilla Thunderbird 24.2 之前版本
  • Mozilla Seamonkey 2.23 之前版本

解決辦法: 手動下載安裝:

細節描述:

  1. Mozila官方發布 Firefox/ Thunderbird/ Seamonkey 存在多項弱點:
  2. 非預期錯誤可能被利用來導致記憶體毀損(memory corruption) 。
  3. 繼承文字集編碼資訊存在錯誤,可被利用規避XSS(cross-site scripting) 過濾器。
  4. 在沙箱框架中執行 object 元件時,可規避沙箱的安全限制,此錯誤僅存在SeaMonkey 中。
  5. 特定函數及方法存在使用釋放後記憶體錯誤(use-after-free error) 。
  6. 透過特定函數將有序列表插入文件會產生錯誤。
  7. 利用滑鼠中鍵選擇貼上時,會被利用來洩漏保存到剪貼簿的資料,此錯誤僅會影響在Linux上的SeaMonkey 。
  8. 當驗證延伸驗證憑證(extended validation (EV) certificates) 時會造成驗證成相容延伸根憑證(EV capable root certificate) 。
  9. 特定虛擬方法(virtual method) 或特定函數中合成滑鼠移動(synthetic mouse movement) 會衍伸出使用釋放後記憶體錯誤,可被利用造成堆積記憶體損毀(corrupt heap-based memory) 。
  10. 尚有其他弱點未一一列出。

遠端攻擊者可透過這些弱點在用戶系統執行任意程式碼、洩露機敏性資訊、規避部份安全限制。

參考資訊:
Secunia
Mozilla

發表留言