‫ چندين آسيب پذيري در Mozilla Firefox ESR / Thunderbird / SeaMonkey

IRCAD2013082830
                                                                                       
شماره: IRCAD2013082830
تاريخ انتشار:2013-08-07
ميزان حساسيت: بسيار مهم
نرم افزارهاي تحت تاثير: 
Mozilla Firefox 17.x
Mozilla SeaMonkey 2.x
Mozilla Thunderbird 17.x
 
توضيح:
چندين آسيب پذيري در Mozilla Firefox ESR / Thunderbird / SeaMonkey گزارش شده است كه مي تواند توسط افراد خرابكار مورد سوء استفاده قرار بگيرد تا كاربران محلي بالاترين حق دسترسي را بدست آورند و توسط افراد خرابكار مورد سوء استفاده قرار بگيرد تا حملات جعل كردن را هدايت نمايند، به طور بالقوه اطلاعات حساس خاص را افشاء نمايند، داده هاي خاص را دستكاري نمايند و كنترل يك سيستم كاربر را در اختيار بگيرند.
1) تعدادي خطاي نامشخص مي تواند براي ايجاد خرابي مورد سوء استفاده قرار بگيرد. در حال حاضر اطلاعات بيشتري در دسترس نيست.
2) يك خطاي استفاده پس از آزادسازي هنگام تغيير Document Object Model در يك رويداد SetBody وجود دارد.
3) يك خطاي استفاده پس از آزادسازي هنگام توليد يك CRME با پارامترهاي خاص وجود دارد.
توجه: اين آسيب پذيري تنها Mozilla SeaMonkey را تحت تاثير قرار مي دهد.
4) تعدادي خطا در Maintenance Service و Mozilla Updater مي تواند براي ايجاد يك سرريز بافر مبتني بر پشته مورد سوء استفاده قرار بگيرد و با بالاترين حق دسترسي خدمات، كد دلخواه را اجرا كند.
توجه: اين آسيب پذيري Mozilla Updater را تحت تاثير قرار نمي دهد و تنها پلت فرم ويندوز را تحت تاثير قرار مي دهد.
5) يك خطاي نامشخص در رابطه با فريم ها مي تواند براي هدايت حملات جعل كردن مورد سوء استفاده قرار بگيرد.
6) يك خطاي نامشخص هنگام توليد يك CRME با پارامترهاي خاص وجود دارد.
7) يك خطا هنگام مديريت نقاط XBL مي تواند براي دور زدن XrayWrappers مورد سوء استفاده قرار بگيرد.
توجه: اين آسيب پذيري تنها Mozilla SeaMonkey را تحت تاثير قرار مي دهد.
8) يك خطا هنگام بررسي URI توسط مولفه هاي خاص جاوا اسكريپت مي تواند براي دور زدن خط مشي مبدا يكسان مورد سوء استفاده قرار بگيرد.
9) يك خطا در رابطه با وب مي تواند براي دور زدن خط مشي مبدا يكسان از طريق XMLHttpRequests مورد سوء استفاده قرار بگيرد.
10) يك خطا هنگام بارگذاري اپلت هاي محلي جاوا مي تواند براي افشاي اطلاعات حساس مورد سوء استفاده قرار بگيرد.
سوء استفاده موفقيت آميز از آسيب پذيري هاي 1 تا 4 و 6 ممكن است منجر به اجراي كد دلخواه شود.
اين آسيب پذيري ها در محصولات زير گزارش شده است:
Mozilla Firefox ESR نسخه هاي پيش از 17.0.8
Mozilla Thunderbird و Thunderbird ESR نسخه هاي پيش از 17.0.8
Mozilla SeaMonkey نسخه هاي پيش از 2.20
 
راهكار:
به يك نسخه اصلاح شده به روز رساني نماييد.
منابع:
Secunia
http://secunia.com/advisories/54413/
 

نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 18 مرداد 1392

امتیاز

امتیاز شما
تعداد امتیازها:0