正文

Mozilla Firefox/Thunderbird/Seamonkey多个远程安全漏洞

admin
admin V管理员 /0 评论 /9 阅读
0103
此篇文章发布距今已超过1278天,您需要注意文章的内容或图片是否可用!

漏洞信息详情

Mozilla Firefox/Thunderbird/Seamonkey多个远程安全漏洞

  • CNNVD编号:CNNVD-200609-278
    • <!--
  • 危害等级: 低危-->
  • 危害等级: 低危
  • CVE编号: CVE-2006-4569
  • 漏洞类型: 跨站脚本
  • 发布时间: 2006-09-15
  • 威胁类型: 远程
  • 更新时间: 2006-09-19
  • 厂        商: mozilla
  • 漏洞来源: Priit LaesCanadian...

漏洞简介

Mozilla Firefox/SeaMonkey/Thunderbird都是Mozilla发布的WEB浏览器和邮件新闻组客户端产品。

上述产品中存在多个安全漏洞,具体如下:

包含有最小量词的JavaScript正则表达式可能触发堆溢出,导致拒绝服务。

在非终止字符组中以反斜线结尾(如\"[\\\")的正则表达式可能导致引擎读取缓冲区以外的数据,造成崩溃。

Firefox和Thunderbird的自动更新机制使用SSL防范DNS欺骗,仅有提供了aus2.mozilla.org有效证书的站点才应被信任为更新信息来源,但很多用户接受了无法识别的自签名证书,导致连接到攻击者所选择的欺骗站点而不是用户所预期的站点。

攻击者可以使用targetWindow.frames[n].document.open()向其他站点的子帧注入内容,这有助于站点欺骗或其他攻击。

即使被阻断的弹出窗口最初是由其他站点所加载的子帧打开的,从状态栏\"被阻断弹出框\"图形所打开的弹出窗口总是在地址栏的环境中打开。这允许弹出框执行跨站脚本攻击。

即使在邮件中禁用了JavaScript的话(默认),攻击者仍可以通过将脚本放置在消息所加载的远程XBL文件中,这样在浏览、回复或转发邮件消息时就可以执行JavaScript。

恶意的Web页面可能导致内存破坏,造成浏览器崩溃,或以运行Firefox用户的权限执行任意代码。

漏洞公告

目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:

http://lwn.net/Alerts/199693/?format=printable

http://lwn.net/Alerts/199691

http://lwn.net/Alerts/199692

参考网址

来源: SECUNIA

名称: 21949

链接:http://secunia.com/advisories/21949

来源: issues.rpath.com

链接:https://issues.rpath.com/browse/RPL-640

来源: XF

名称: firefox-popup-blocker-xss(28957)

链接:http://xforce.iss.net/xforce/xfdb/28957

来源: HP

名称: SSRT061181

链接:http://www1.itrc.hp.com/service/cki/docDisplay.do?docId=c00771742

来源: UBUNTU

名称: USN-354-1

链接:http://www.ubuntu.com/usn/usn-354-1

来源: UBUNTU

名称: USN-351-1

链接:http://www.ubuntu.com/usn/usn-351-1

来源: BID

名称: 20042

链接:http://www.securityfocus.com/bid/20042

来源: BUGTRAQ

名称: 20060915 rPSA-2006-0169-1 firefox thunderbird

链接:http://www.securityfocus.com/archive/1/archive/1/446140/100/0/threaded

来源: REDHAT

名称: RHSA-2006:0675

链接:http://www.redhat.com/support/errata/RHSA-2006-0675.html

来源: SUSE

名称: SUSE-SA:2006:054

链接:http://www.novell.com/linux/security/advisories/2006_54_mozilla.html

来源: www.mozilla.org

链接:http://www.mozilla.org/security/announce/2006/mfsa2006-62.html

来源: MANDRIVA

名称: MDKSA-2006:168

链接:http://www.mandriva.com/security/advisories?name=MDKSA-2006:168

来源: VUPEN

名称: ADV-2008-0083

链接:http://www.frsirt.com/english/advisories/2008/0083

来源: VUPEN

名称: ADV-2007-1198

链接:http://www.frsirt.com/english/advisories/2007/1198

来源: VUPEN

名称: ADV-2006-3748

链接:http://www.frsirt.com/english/advisories/2006/3748

来源: support.avaya.com

链接:http://support.avaya.com/elmodocs2/security/ASA-2006-224.htm

来源: SECTRACK

名称: 1016849

链接:http://securitytracker.com/id?1016849

来源: GENTOO

名称: GLSA-200609-19

链接:http://security.gentoo.org/glsa/glsa-200609-19.xml

来源: SECUNIA

名称: 24711

链接:http://secunia.com/advisories/24711

来源: SECUNIA

名称: 22422

链接:http://secunia.com/advisories/22422

来源: SECUNIA

名称: 22210

链接:http://secunia.com/advisories/22210

来源: SECUNIA

名称: 22195

链接:http://secunia.com/advisories/22195

来源: SECUNIA

名称: 22066

链接:http://secunia.com/advisories/22066

来源: SECUNIA

名称: 22056

链接:http://secunia.com/advisories/22056

来源: SECUNIA

名称: 22025

链接:http://secunia.com/advisories/22025

来源: SECUNIA

名称: 22001

链接:http://secunia.com/advisories/22001

来源: SECUNIA

名称: 21950

链接:http://secunia.com/advisories/21950

来源: MANDRIVA

名称: MDKSA-2006:168

链接:http://frontal2.mandriva.com/security/advisories?name=MDKSA-2006:168

受影响实体

  • Mozilla Firefox:1.5.0.6  
    <!--
    2000-1-1
    -->

补丁

    暂无