22 июля, 2009

Программа: Mozilla Firefox версии до 3.0.12

Опасность: Средняя

Наличие эксплоита: Нет

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю обойти некоторые ограничения безопасности, произвести XSS нападение и скомпрометировать целевую систему.

1. Уязвимость существует из-за неизвестной ошибки в Browser engine. Удаленный пользователь может скомпрометировать целевую систему.

2. Целочисленное переполнение существует из-за ошибки в функционале обработке base64-кодированных данных. Удаленный пользователь может скомпрометировать целевую систему.

3. Уязвимость существует из-за ошибки при обработке множественных RDF файлов, загруженных в древовидный элемент XUL. Удаленный пользователь может скомпрометировать целевую систему.

4. Уязвимость существует из-за ошибки при обработке двойных фреймов. Удаленный пользователь может вызвать повреждение памяти и выполнить произвольный код на целевой системе.

5. Уязвимость существует из-за ошибки в механизме JavaScript. Удаленный пользователь может скомпрометировать целевую систему.

6. Уязвимость существует из-за ошибки при обработке Flash объекта. Удаленный пользователь может с помощью специально сформированной Web страницы заставить приложение вызвать удаленный объект Flash проигрывателя и выполнить произвольный код на целевой системе.

7. Множественные ошибки существуют в различных механизмах воспроизведения шрифтов при использовании библиотек сторонних производителей. Удаленный пользователь может выполнить произвольный код на целевой системе.

8. Уязвимость существует из-за ошибки при использовании функций watch() и __defineSetter__ для элемента SVG. Удаленный пользователь может скомпрометировать целевую систему.

9. Уязвимость существует из-за ошибки при обработке setTimeout. Удаленный пользователь может выполнить произвольный JavaScript код с привилегиями chrome.

10. Уязвимость существует из-за множественных ошибок, которые позволяют JavaScript сценарию одного Web сайта получить доступ к данным другого Web сайта. Удаленный пользователь может произвести XSS нападение и выполнить произвольный JavaScript сценарий в контексте безопасности другого сайта.

URL производителя: www.mozilla.com/en-US/firefox/all-older.html

Решение: Установите последнюю версию 3.0.12 с сайта производителя.

Источники: 

• MFSA 2009-34: Crashes with evidence of memory corruption (rv:1.9.1/1.9.0.12)
• MFSA 2009-35: Crash and remote code execution during Flash player unloading
• MFSA 2009-36: Heap/integer overflows in font glyph rendering libraries
• MFSA 2009-37: Crash and remote code execution using watch and __defineSetter__ on SVG element
• MFSA 2009-39: setTimeout loses XPCNativeWrappers
• MFSA 2009-40: Multiple cross origin wrapper bypasses