Mozilla Firefox 修复多个安全漏洞

来源:岁月联盟 编辑:zhuzhu 时间:2008-09-28
Mozilla Firefox 修复多个安全漏洞 Firefox是Mozilla所发布的开源WEB浏览器,Firefox中的多个安全漏洞允许恶意用户泄露敏感信息、绕过安全限制、执行欺骗安全或安全用户系统。 

受影响系统: 

Mozilla Firefox 3.x 

Mozilla Firefox 2.0.x 

Mozilla Thunderbird <= 2.0.0.16 

Mozilla SeaMonkey <= 1.1.11 

不受影响系统: 

Mozilla Firefox 3.0.2 

Mozilla Firefox 2.0.0.17 

Mozilla Thunderbird 2.0.0.17 

Mozilla SeaMonkey 1.1.12 

描述: 

-------------------------------------------------------------------------------- 

BUGTRAQ ID: 31346 

CVE(CAN) ID: CVE-2008-3837,CVE-2008-4058,CVE-2008-4059,CVE-2008-4060,CVE-2008-4061,CVE-2008-4062,CVE-2008-4063,CVE-2008-4064,CVE-2008-4065,CVE-2008-4066,CVE-2008-4067,CVE-2008-4068,CVE-2008-4069,CVE-2008-3836,CVE-2008-3835,CVE-2008-0016 

Firefox是Mozilla所发布的开源WEB浏览器。 

Firefox中的多个安全漏洞允许恶意用户泄露敏感信息、绕过安全限制、执行欺骗安全或安全用户系统。由于代码共享,Thunderbird和SeaMonkey也受这些漏洞的影响。 

(1) 特制的UTF-8超级链接URL可能触发栈溢出,导致执行任意代码。 

(2) nsXMLDocument::OnChannelRedirect()实现同源检查时存在错误,导致以不同站点的环境执行任意脚本代码。 

(3) feedWriter中的多个错误导致以Chrome权限执行任意脚本代码。 

(4) JavaScript的移动和调整大小功能中的错误可以诱骗用户点击非预期的按键,下载恶意文件。 

(5) XPCNativeWrappers可能被破坏以Chrome权限执行任意脚本代码。 

(6) XSLT和document.loadBindingDocument()在创建文档时的多个错误可能导致以Chrome权限运行任意脚本代码。 

(7) 布局和JavaScript引擎中的多个漏洞可能导致内存破坏。 

(8) 处理JavaScript代码中所捆绑的BOM字符时存在多个错误,允许绕过脚本过滤器,这有助于跨站脚本安全。 

(9) HTML解析器在处理低代理HTML转义字符时存在错误,允许绕过脚本过滤器,这有助于跨站脚本安全。 

(10) 实现resource:协议时存在多个目录遍历漏洞,导致泄露敏感信息。 

(11) XBM解码器中的错误可能导致从未初始化的内存位置读取数据。 

<*来源:Georgi Guninski (guninski@guninski.com) 

David Maciejak (david.maciejak@kyxar.fr) 

Igor Bukanov 

Martijn Wargers 

moz_bug_r_a4 (moz_bug_r_a4@yahoo.com) 

Peter Williams 


链接:http://secunia.com/advisories/31984/ 

http://secunia.com/advisories/32011/ 

http://www.mozilla.org/security/announce/2008/mfsa2008-37.html 

http://www.mozilla.org/security/announce/2008/mfsa2008-38.html 

http://www.mozilla.org/security/announce/2008/mfsa2008-39.html 

http://www.mozilla.org/security/announce/2008/mfsa2008-40.html 

http://www.mozilla.org/security/announce/2008/mfsa2008-41.html 

http://www.mozilla.org/security/announce/2008/mfsa2008-42.html 

http://www.mozilla.org/security/announce/2008/mfsa2008-43.html 

http://www.mozilla.org/security/announce/2008/mfsa2008-44.html 

http://www.mozilla.org/security/announce/2008/mfsa2008-45.html 

https://www.redhat.com/support/errata/RHSA-2008-0879.html 

https://www.redhat.com/support/errata/RHSA-2008-0882.html 

*> 

建议: 

-------------------------------------------------------------------------------- 

厂商补丁: 

Mozilla 

------- 

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: 

http://www.mozilla.com/en-US/firefox/all-older.html 

RedHat 

------ 

RedHat已经为此发布了一个安全公告(RHSA-2008:0882-01)以及相应补丁: 

RHSA-2008:0882-01:Critical: seamonkey security update 

链接:https://www.redhat.com/support/errata/RHSA-2008-0882.html 

上一篇:Firefox 2.0.0.17和3.0.2版本安全漏洞
下一篇:黄金周十万安全利用五大漏洞肆虐

最近更新

随机推荐