‫ چندين آسيب پذيري در Mozilla Firefox / Thunderbird / SeaMonkey

IRCAD2014023128
شماره: IRCAD2014023128
تاريخ انتشار:2014-02-05
ميزان حساسيت:بسيار مهم
نرم افزارهاي تحت تاثير: 
Mozilla Firefox 24.x
Mozilla SeaMonkey 2.x
Mozilla Thunderbird 24.x
 
توضيح:
تعدادي آسيب پذيري در موزيلا فايرفاكس، Thunderbird و SeaMonkey گزارش شده است كه مي تواند توسط افراد خرابكار مورد سوء استفاده قرار بگيرد تا از محدوديت هاي امنيتي خاص عبور نمايند و كنترل يك سيستم كاربر را در اختيار بگيرند.
1) تعدادي خطاي نامشخص وجود دارد كه مي تواند براي ايجاد تخريب حافظه مورد سوء استفاده قرار بگيرد.
2) تعدادي خطاي نامشخص ديگر وجود دارد كه مي تواند براي ايجاد تخريب حافظه مورد سوء استفاده قرار بگيرد.
3) يك خطا هنگام مديريت محدوده هاي محتوي XBL مي تواند براي دور زدن SOW مورد سوء استفاده قرار بگيرد.
4) يك خطا هنگام مديريت تصاوير حذف شده در كلاس "RasterImage" مي تواند براي ايجاد تخريب حافظه مورد سوء استفاده قرار بگيرد.
5) يك خطا در رابطه با توابع "document.caretPositionFromPoint()" و "document.elementFromPoint()" مي تواند براي دور زدن خط مشي هاي اصلي يكسان مورد سوء استفاده قرار بگيرد و سپس به طور بالقوه ويژگي هاي خاص يك المان iframe را افشاء نمايند.
6) يك خطا هنگام مديريت صفحات XSLT مي تواند براي دور زدن CSP مورد سوء استفاده قرار بگيرد و سپس كد اسكريپت دلخواه را اجرا نمايند.
7) يك خطاي استفاده پس از آزادسازي در رابطه با انواع مختلف خاص هنگام استفاده از تابع "imgRequestProxy()"  مي تواند براي ايجاد تخريب حافظه مورد سوء استفاده قرار بگيرد.
8) يك خطا هنگام مديريت پيام هاي خطاي كاربران وب مي تواند براي دور زدن خط مشي اصلي يكسان مورد سوء استفاده قرار بگيرد و سپس اطلاعات غيردسترس افشاء شوند.
9) يك خطا هنگام پايان دادن به كار يك وب در حال اجرا مي تواند براي ايجاد تخريب حافظه مورد سوء استفاده قرار بگيرد.
آسيب پذيري هاي 2، 5، 6 و 9 تنها SeaMonkey را تحت تاثير قرار مي دهد.
10) يك خطاي شرايط رقابتي هنگام مديريت بليط هاي نشست در libssl مي تواند براي ايجاد تخريب حافظه مورد سوء استفاده قرار بگيرد.
11) يك خطا هنگام مديريت جاوااسكريپت بر روي پنجره اشياء مي تواند براي دوز ردن محدوديت هاي امنيتي نامشخص خاص مورد سوء استفاده قرار بگيرد.
سوء استفاده موفقيت آميز از آسيب پذيري هاي 1،2،4،7،9 و 10 ممكن است منجر به اجراي كد از راه دور شود.
اين آسيب پذيري در Firefox ESR نسخه هاي پيش از 24.3، Thunderbird نسخه هاي پيش از 24.3 و SeaMonkey نسخه هاي پيش از 2.24 گزارش شده است.
 
راهكار:
به يك نسخه اصلاح شده به روز رساني نماييد.
 
منابع:
 
 
Secunia:
 

نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 23 بهمن 1392

امتیاز

امتیاز شما
تعداد امتیازها:0