PCHappy

Mozilla Firefox/ Thunderbird /Seamonkey 存在多項弱點

風險等級: 高度威脅

摘  要:

Mozilla Firefox/ Thunderbird/ Seamonkey 存在多項弱點,惡意人士可利用此弱點來規避安全限制,進一步於遠端執行程式碼。

目前已知會受到影響的版本為 Mozilla Firefox 27 之前版本、Firefox ESR 24.3 之前版本、Thunderbird 24.3 之前版本、Seamonkey 2.24 之前版本。

影響系統 :

  • Mozilla Firefox 27 之前版本
  • Mozilla Firefox ESR 24.3 之前版本
  • Mozilla Thunderbird 24.3 之前版本
  • Mozilla Seamonkey 2.24 之前版本

解決辦法: 手動下載安裝:

細節描述:

Mozila官方發布 Firefox/ Thunderbird/ Seamonkey 存在多項弱點:

  1. 非預期錯誤可能被利用來導致記憶體毀損(memory corruption) 。
  2. 當處理 XML Binding Language (XBL) 內容範圍時發生錯誤,攻擊者可利用漏洞以 XBL 內容範圍複製受保護的 XUL 元素來繞過 System Only Wrappers (SOW) 。
  3. 在 “RasterImage” 類別內處理棄置圖像、在線程之間傳遞物件後終止網頁工作者運行 asm.js 程式碼時發生錯誤及一些不明的誤差,攻擊者可利用漏洞導致記憶體損毀。
  4. 攻擊者可利用與特定函數有關的錯誤繞過同源政策,然後洩露 iframe 元素的某些屬性。
  5. 處理 XSLT stylesheets 時發生錯誤,攻擊者可利用漏洞繞過 Content Security Policy (CSP),然後執行任意程式碼。
  6. 使用特定函數發生與某些內容種類有關的釋放後使用錯誤(use-after-free) ,攻擊者可利用漏洞導致記憶體損毀。
  7. 處理網頁工作者的錯誤訊息發生錯誤,攻擊者可利用漏洞繞過同源政策,然後洩露不能存取的資料。
  8. 在 libssl 處理工作階段券時發生競爭狀態錯誤,攻擊者可利用漏洞導致記憶體損毀。 尚有其他弱點未一一列出。

遠端攻擊者可透過這些弱點在用戶系統執行任意程式碼、洩露機敏性資訊、規避部份安全限制。

參考資訊:

發表留言