Множественные уязвимости в Mozilla Firefox

Программа:
Mozilla Firefox 1.5.0.1 и более ранние версии.
Mozilla Suit версии до 1.7.13
Опасность: Критическая
Наличие эксплоита: Нет .
Описание:
Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение, обойти ограничения безопасности, получить доступ к важным данным и скомпрометировать уязвимую систему.

1. Уязвимость существует из-за ошибки, которая позволяет внедрить JavaScript код в другую, в данный момент загружающуюся, страницу. Удаленный пользователь может с помощью специально сформированного Web сайта выполнить произвольный код сценария в браузере жертвы в контексте безопасности любо сайта.

2. Уязвимость существует из-за ошибки в garbage collection в JavaScript. Удаленный пользователь может вызвать повреждение памяти и выполнить произвольный код на целевой системе.

3. Ошибка при обработке входных данных в реализации каскадных стилей может позволить злоумышленнику дописать некоторые данные в конец массива.

4. Целочисленной переполнение буфера обнаружено при обработке слишком длинных регулярных выражений в JavaScript. Удаленный пользователь может выполнить произвольный JavaScript код на системе.

5. Обнаружено две ошибки при обработке «-moz-grid» и «-moz-grid-group» стилей. Удаленный пользователь может выполнить произвольный код на целевой системе.

6. Ошибка обнаружена в методе «InstallTrigger.install()». Удаленный пользователь может вызвать повреждение памяти на системе.

7. Уязвимость существует из-за неизвестной ошибки, которая позволяет в некоторых ситуациях подменить иконку с изображением безопасного замка и содержимое адресной строки путем изменения месторасположения pop-up окна. Для успешной эксплуатации уязвимости опция «Entering secure site» должна быть включена (По умолчанию отключена).

8. Уязвимость позволяет злоумышленнику обманом заставить пользователя скачать злонамеренный файл с помощью меню «Save image as…».

9. JavaScript функция, созданная вызовом «eval()» совместно с методом XBL привязки может быть скомпилирована с некорректными привилегиями. Удаленный пользователь может выполнить произвольный код на целевой системе.

10. Обнаружена ошибка в методе «Object.watch()», открывающем внутренний «clone parent» объект функции. Удаленный пользователь может выполнить произвольный JavaScript код на системе.

11. Обнаружена ошибка в способе зашиты сборки встроенных XBL связок. Удаленный пользователь может выполнить произвольный JavaScript сценарий на системе с повышенными привилегиями.

12. Неизвестная ошибка позволяет удаленному пользователю выполнить произвольный код сценария посредством массива window.controllers.

13. Уязвимость существует из-за ошибки при обработке определенной последовательности HTML тегов. Удаленный пользователь может вызвать повреждение памяти и выполнить произвольный код на целевой системе.

14. Уязвимость обнаружена в методах «valueOf.call()» и «valueOf.apply()». Удаленный пользователь может выполнить произвольный код сценария в браузере жертвы в контексте безопасности произвольного сайта.

15. Обнаружено несколько ошибок в реализации DHTML. Удаленный пользователь может вызвать повреждение памяти и выполнить произвольный код на целевой системе.

16. Целочисленное переполнение обнаружено при обработке CSS свойства letter-spacing. Удаленный пользователь может вызвать переполнение динамической памяти и выполнить произвольный код на целевой системе.

17. Уязвимость существует при обработке элементов формы для загрузки файлов. Удаленный пользователь может загрузить произвольные файлы с системы пользователя на сервер путем динамической подмены элемента текстовой строки на элемент загрузки файлов.

18. Неизвестная ошибка существует в методе «crypto.generateCRMFRequest()». Удаленный пользователь может выполнить произвольный код на целевой системе.

19. Ошибка при обработке сценариев в XBL элементах может позволить злоумышленнику получить chrome привилегии с помощью модуля «Print Preview».

20. Уязвимость существует из-за ошибки при проверке безопасности в методе «js_ValueToFunctionObject()». Удаленный пользователь может выполнить произвольный код с помощью «setTimeout()» и «ForEach».

21. Уязвимость существует из-за ошибки взаимодействия между содержимым XUL окна и механизмом “History”. Злоумышленник может обманом заставить пользователя взаимодействовать с невидимым пользовательским интерфейсом браузера.

URL производителя: http://www.mozilla.com

Решение: Установите последнюю версию с сайта производителя.

Поделиться в соц. сетях

mailru Множественные уязвимости в Mozilla Firefox
facebook Множественные уязвимости в Mozilla Firefox
odnoklassniki Множественные уязвимости в Mozilla Firefox
livejournal Множественные уязвимости в Mozilla Firefox
googlebuzz Множественные уязвимости в Mozilla Firefox

Также рекомендуем:

  1. Найдена уязвимость в Firefox 3.6 Компания Mozilla Foundation в срочном порядке выпустила в свет внеочередной патч для устранения уязвимости в Firefox 3.6.. В середине прошлой недели появилась уязвимость, которая позволяла злоумышленникам внедрить вредоносный код на компьютер пользователя, когда те посещали зараженные сайты. Эту «дыру» в браузере обнаружила компания Secunia, а представители Mozilla сразу же заверили, что уязвимость будет очень быстро [...]...
  2. Яндекс запустил RTFM для программистов Яндексом запущен специальный колдунщик для программистов, аналог RTFM. Сообщение об этом распространили разработчики Яндекса. Новый сервис будет показывать ответ на интересующий вопрос непосредственно в поисковой выдаче, облегчая тем самым работу программистам.. Колдунщик предоставляет описания, которые имеются в официальных справочных материалах или действующих руководствах по программированию. Колдунщик уже знает более чем десятью популярными языками программирования и [...]...
  3. Свобода слова в Рунете находится под угрозой Международная правозащитная организация Freedom House провела исследование на тему свободы слова в интернете. В понедельник был обнародован доклад, в котором содержится информация о том, что целый ряд государств уделяют все больше внимания различным методам ограничения свободы общения во всемирной паутине. К сожалению, Россия попала в список стран, в которых наблюдаются негативные тенденции в области Интернет-цензуры.. [...]...
  4. Новая главная страница Яндекс Компания «Яндекс» официально объявила о запуске новой, одиннадцатой по счету, версии главной страницы сервиса yandex.ru. . Расположение предопределенных блоков и информеров на новой главной странице обеспечивает лучшее восприятие пользователем, позволяя выделить необходимую информацию буквально с первого взгляда. Место непосредственно под строкой поиска отныне будет занято информацией, относящейся к текущему географическому месту пользователя. В набор войдут [...]...
  5. Отказ в обслуживании в Microsoft Internet Explorer Программа: Microsoft Internet Explorer 6.x Опасность: Средняя Наличие эксплоита: Да . Описание: Уязвимость позволяет удаленному пользователю вызвать отказ в обслуживании. Уязвимость существует в библиотеке mshtml.dll при обработке тега OBJECT. Удаленный пользователь может с помощью специально сформированной Web страницы вызвать отказ в обслуживании браузера. Примеры: http://lcamtuf.coredump.cx/iedie2-1.htmlhttp://lcamtuf.coredump.cx/iedie2-2.htmlhttp://lcamtuf.coredump.cx/iedie2-3.htmlhttp://lcamtuf.coredump.cx/iedie2-4.html URL производителя: www.microsoft.com Решение: Способов устранения уязвимости не существует в [...]...
  6. Началось Бета-тестирование CMS "Битрикс: Управление сайтом 5.0" Компания «Битрикс» объявляет о завершении работ над новой версией программного продукта «Битрикс: Управление сайтом 5.0″ с концептуально новым интерфейсом. . Новый интерфейс административного раздела создан с использованием технологии AJAX. При проектировании нового интерфейса для консультаций были привлечены специалисты по веб-юзабилити компании «Группа Махаон». Новый интерфейс существенно отличается от предыдущей версии продукта. Для удобства работы информация [...]...
  7. Новый язык программирования ForceBasic ForceBasic – представляет собой средство для создания программного обеспечения. Выбирая необходимые библиотеки языка, вы можете строить приложения для выбранной платформы. Компилятор языка ForceBasic позволяет строить машинно-независемый код, который выполняется виртуальной машиной, архитектура байт-кода сконфигурирована так чтобы исполняемый код и виртуальная машина были как можно меньше по объёму, как следствие минимальный размер exe от 3K, размер [...]...
  8. Поисковая система от Google будет работать в реальном времени 7 декабря компанией Google сделано заявление о том, что компанией выпущен совершенно новый сервис, который будет осуществлять поиск по запросам пользователей в реальном времени.. Со слов представителей компании Google, на главной странице поисковой системы компании будет расположен специальный блок, который в реальном времени будет показывать ответ на запрос пользователя. Появление нового сервиса является результатом соглашения, [...]...
  9. Среди популярных сайтов каждый пятый – проект WEB 2.0 Международным аналитическим порталом Compete, который предоставляет услуги по сравнению аудиторий различных Интернет ресурсов, опубликован рейтинг ТОП-50 сайтов, пользующихся в США наибольшей популярностью. Сравнение проводилось за ноябрь 2009 года. . Из отобранных 50-ти сайтов, 20% представляют собой социальные сети и Интернет ресурсы, имеющие непосредственное отношение к Веб 2.0, перечисленные ниже в порядке убывания популярности. Это – [...]...
  10. Google распознает тексты с изображений Новые технологи поиска с Google Goggles позволят сделать поиск более релевантным. Эта технология позволяет распознавать надписи, которые присутствуют на изображениях. Но Google Goggles будет не только распознавать их, а еще и переводить.. Изначально эта функция создавалась для маркетинговых возможностей поисковика. Она позволяла отснять на телефон нужный товар, найти, как он называется, цену и возможные места [...]...
  11. Экспансия русского nginx Шведская компания Pigdom опубликовала очень оптимистичный прогноз роста популярности русских IT-технологий.. Ссылаясь на данные Netcraft, в блоге говорится о том, что 7% сайтов всей сети Интернет, а это около 16 млн. сайтов, управляются и работают на высоконагрузочном веб-сервере nginx. Этот сервер создал Игорь Сысоев из Рамблера. Конечно 7% это не такая уж и большая величина, [...]...
  12. Яндекс и доп. ссылки для мультиязычных сайтов Яндекс обзавелся механизмом вывода сайтов, имеющих несколько версий на различных языках, в SERP. Если Яндекс «понимает», что найденный текст – перевод исходного с другого языка, то результат поиска выдает под заголовком найденной ссылку на страницу с переведенным документом.. Бывает и так, что сайт имеет два идентичных текста на разных языках. В этом случае адрес страницы [...]...
  13. Twitter преодолел 200-миллионный рубеж Общаясь с техноблогером журнала Forbes Оливером Чьянгом (Oliver Chiang), представитель Twitter Кэролин Пеннер (Carolyn Penner) сообщила, что количество поклонников сервиса микроблогов Twitter приблизилось к отметке в 200 миллионов.. Сведения о приближении 200 миллионой отметки были получены еще 1 января 2011 года. Пеннер утверждает, что количество твитов, которые ежедневно публикуются в микроблогах достигает 110 миллионов. В [...]...
  14. Законодатели закрепили понятие «сетевое издание» 22 февраля 2011 года, Государственная Дума РФ, приняла в первом чтении пакет поправок в федеральный закон «О СМИ».. В частности, в новой редакции закона, четко прописано такое понятие, как «сетевое издание». С точки зрения законодателей «сетевое издание» – это «сайт в сети Интернет, зарегистрированный в качестве средства массовой информации». В новой версии закона «О СМИ», [...]...
  15. Rambler Top100 меняется Изменения в рейтинге-классификаторе произойдут незначительные. Исчезнет раздел «Экспертиза» и будут добавлены пять новых секций. . Кроме этого: добавляются новые разделы: «Женский клуб», «Промышленность», «Знакомство и общение», «Погода», «Непознанное»; объединяются разделы: «Электронная коммерция» и «Товары и Услуги», «Фармацевтика» и «Медицина», «Электроника» и «Компьютеры» (с 1 ноября 2007г.), «Театр» и «Искусство». SEONEWS обратился за комментариями к директору [...]...

Комментарии запрещены.