PCHappy

Mozilla Firefox/ Thunderbird /Seamonkey 存在多個弱點

風險等級: 高度威脅

摘  要:

Mozilla 官方網站公布Mozilla Firefox/ Thunderbird/ Seamonkey 存在多項弱點,惡意人士可透過這些弱點在用戶系統執行任意程式碼、洩露機敏性資訊、規避部份安全限制。

目前已知會受到影響的版本為Mozilla Firefox 28 之前版本/ Mozilla Firefox ESR 24.4 之前版本/ Thunderbird 24.4 之前版本/ Seamonkey 2.X 之前版本。

影響系統 :

  • Mozilla Firefox 28 之前版本
  • Mozilla Firefox ESR 24.4 之前版本
  • Mozilla Thunderbird 24.4 之前版本
  • Mozilla Seamonkey 2.25 之前版本

解決辦法: 手動下載安裝:

細節描述:

Mozilla 官方公布Firefox/ Thunderbird/ Seamonkey 存在多項弱點,弱點如下:

  1. 某些錯誤可觸發記憶體毀損錯誤(memory corruption error)。
  2. 解碼 WAV 音訊檔、MathML 執行多邊形運算的錯誤,會產生越界(out-of-bounds) 讀取記憶體存取錯誤。
  3. 與WebRTC 連線有關的許可權提示錯誤,可以利用網路攝像機或麥克風增益選項進行欺騙的提示。
  4. 處理某些 WebGL 內容時的錯誤可被假冒另一網站的WebGL 內容。
  5. 篩選器和位移處理 SVG 格式圖像時產生計時錯誤,可能允許跨網域存取被揭露文字內容。
  6. WebIDL-implemented APIs 錯誤可被利用加載,否則無法進入權限頁面。
  7. TypeObjects 處理記憶體垃圾收集時,產生使用釋放後記憶體(use-after-free) 的錯誤,將觸發記憶體毀損錯誤。
  8. TypedArrayObject 在處理ArrayBuffer 物件時,會導致超出邊界讀取的記憶體存取。

惡意人士透過以上弱點,便可規避部份安全限制取得特權訪問受影響的系統,可能導致使用者敏感資料外洩、損害受害者電腦系統。

參考資訊:

發表留言