• Serwis utrzymywany przez


    • « Raport Roczny CERT Polska 2007
    Ostrzeżenie przed groźnymi plikami PDF »

    Luki w przeglądarce Firefox i innych produktach firmy Mozilla

    W dniu wczorajszym upubliczniono informacje o lukach w popularnej przeglądarce internetowej Firefox (dotyczy wersji 2.0.0.11 i wcześniejszych), które po części odnoszą się też do aplikacji Thunderbird oraz SeaMonkey. Jest ich dziesięć, z czego trzy o poziomie krytycznym, jedna wysokim, trzy przeciętnym, a pozostałe niskim.

    Pierwsza krytyczna podatność (oznaczona symbolem 2008-01) powoduje niestabilność silnika przeglądarki, co w najlepszym wypadku może doprowadzić do błędu aplikacji i przerwania jej działania, w najgorszym do wykonania dowolnego kodu w systemie. Luka ta występuje także w kliencie pocztowym Thunderbird (tylko, jeżeli w jego ustawieniach zezwolimy na wykonywanie skryptów JavaScript), oraz aplikacji SeaMonkey.

    Druga z krytycznych luk (2008-03) pozwala specjalnie spreparowanemu skryptowi JavaScript wykonać pewne czynności z większymi prawami, m.in. wstrzyknąć kod JS innej stronie WWW. Podatność znajduje się także w aplikacjach Thunderbird i SeanMonkey.

    Ostatni krytyczny błąd występuje w sposobie przetwarzania plików graficznych, kiedy użytkownik opuszcza stronę. Luka pozwala m.in. wykraść historię odwiedzanych stron, a także doprowadzić do błędu i przerwania działania aplikacji, co z kolei może zostać wykorzystane do wykonania w systemie dowolnego kodu. Podatność nie występuje w programie Thunderbird.

    Pozostałe luki zezwalają m.in. na ładowanie kodów JS, plików graficznych oraz arkuszy stylów z dowolnego miejsca na lokalnym dysku; czy wyczyszczenie listy haseł zapamiętanych przez Firefoxa (bez ich kradzieży).

    Użytkownicy korzystający z przeglądarki Firefox oraz SeaMonkey proszeni są o jak najszybsze zaktualizowanie ich do najnowszej wersji (2.0.0.12 dla Firefoxa i 1.1.8 dla SeaMonkey). Nowa wersja klienta pocztowego Thunderbird ma się ukazać w niedługim czasie, do tego momentu należy zadbać, by w ustawieniach wyłączona była możliwość obsługiwania przez aplikację skryptów JS.

    Źródło: www.mozilla.org

    Tags: , , , , , ,

    Wpis utworzony 8 lutego 2008 o 14:08 i umieszczony w kategorii Posty. Możesz śledzić wszystkie odpowiedzi korzystając z RSS 2.0

    Comments are closed.