Firefox 2.0.0.12 Sicherheits-Update behebt Sicherheitslücke 7 & 3 "Critical Patch (Speicher Korruption, JavaScript Engine Stürze).
Bekannte Sicherheitslücken in Mozilla-Produkte (Firefox 2.0.0.11)
- MFSA 2008-11
Web-Fälschung überschreiben mit div-Overlay
Beschreibungen
Sicherheits-Forscher Emil Ljungdahl und Lars-Olof Moilanen gezeigt, dass in den Fällen, in denen der gesamte Inhalt einer Seite, sind eingeschlossen in ein <div> mit einer absoluten Positionierung, eine Web-Fälschung Warn-Dialog wird nicht angezeigt werden, es sei denn, der Benutzer schaltet weg-Registerkarten aus dann zurück-zu der Fälschung Seite.
Referenzen
- MFSA 2008-10
URL Token Diebstahl über Stylesheet umleiten
Beschreibungen
Sicherheits-Forscher Martin Straka berichtet, dass Gecko-basierte Browser aktualisieren. Href Eigentum von Stylesheet DOM-Knoten, um die endgültige URI des Stylesheets, nachdem Sie alle 302 redirects (viel wie die document.location Eigentum wird ständig aktualisiert). Diese unterscheidet sich von anderen Browsern und könnte möglicherweise zeigen, sensible URL-Parameter, wie zum Beispiel die vom Single-signon sytems, dass Skripte auf der Seite.
Referenzen
- MFSA 2008-09
Unsachgemäße lokal gespeichert-Nur-Text-Dateien
Beschreibungen
Mozilla Beitrag oo.rio.oo gezeigt, dass, sobald eine Datei mit Content-Disposition: attachment und (falsche) Content-Type: plain / text lokal gespeichert wird, würde der Browser nicht mehr offen mit lokalen Dateien. Txt-Erweiterungen für die Anzeige, sondern würde vielmehr fordert den Benutzer die Datei zu speichern.
Referenzen
- MFSA 2008-08
Datei-Aktion Dialog Manipulation
Beschreibungen
Sicherheits-Forscher Michal Zalewski gezeigt, dass die Timer-fähigen Sicherheit Dialoge lassen sich die Zerstreuung von Angreifern mit Hilfe von JavaScript zu ändern, das Fenster Fokus. Zalewski hat gezeigt, dass ein Nutzer könnte dazu gebracht werden, bestätigt ein Dialogfeld Sicherheit dieser Art, indem sie den Dialog wieder in den Blickpunkt Recht, bevor ein Benutzer klickt auf einen berechenbaren Zeit und Ort.
Referenzen
- MFSA 2008-06
Web-Browsing History und übermittelt Navigation Diebstahl
Beschreibungen
Mozilla Mitwirkende David Bloom berichtet eine Schwachstelle in der Art und Weise behandelt werden die Bilder durch den Browser, wenn ein Benutzer eine Seite verlässt die designMode verwendet Frames. Die gemeldete Problem kann verwendet werden, zu stehlen eines Nutzers Navigation Geschichte, nach vorn Navigation Informationen und Crash-Browser des Nutzers. Der Crash zeigte Anzeichen für Korruption und Speicher könnten verwertet werden, um beliebigen Code auszuführen.
Referenzen
- MFSA 2008-05
Directory Traversal via chrome: URI
Beschreibungen
Gerry Eisenhaur berichtet die chrome: URI-Schema erlaubt falsch "Directory Traversal" herangezogen werden könnten zu laden JavaScript, Bilder und Stylesheets aus lokalen Dateien in bekannten Orten. Diese Traversal war nur möglich, wenn der Browser hatte installierten Add-Ons verwendet, die "flat" Verpackung und nicht von dem beliebteren. Jar Verpackung, und die Angreifer müsste Ziel, dass bestimmte Add-On.
Mozilla moz_bug_r_a4 Forscher berichteten, dass diese Sicherheitsanfälligkeit könnte verwendet werden, zu stehlen den Inhalt des Browsers sessionstore.js Datei, die Session-Cookie enthält Daten und Informationen über die zur Zeit offenen Web-Seiten.
Referenzen
- MFSA 2008-04
Gespeichertes Passwort Korruption
Beschreibungen
Mozilla-Entwickler Justin Dolske entdeckt, dass bösartige Websites, auf eine Einsparung Benutzer sein Kennwort, könnte spritzen Zeilenumbrüche in Firefox das Kennwort speichern und korrupte gespeicherte Kennwörter zu anderen Websites.
Referenzen
- MFSA 2008-03
Privilege Eskalation, XSS, Codeausführung von Remotestandorten aus
Beschreibungen
Mozilla Mitwirkenden moz_bug_r_a4 und Boris Zbarsky hat eine Reihe von Schwachstellen, die es erlauben Skripte von Seite zur Flucht aus seiner Sandbox Kontext und / oder Ausführung mit verchromten Privilegien. Eine zusätzliche Gefährdung von moz_bug_r_a4 gezeigt, dass die XMLDocument.load ()-Funktion kann verwendet werden, zu injizieren-Skript in eine andere Website, die gegen die Browser-gleichen Ursprungs-Politik.
Referenzen
- MFSA 2008-02
Multiple-Input-Datei Schwerpunkt Diebstahl Sicherheitslücken
Beschreibungen
Sicherheits-Forscher hong und Gregory Fleisher jedes berichtet eine Variante über die frühere Fehler bezüglich Schwerpunkt in der Datei Input steuert. Ihre Varianten verwendet Datei-Eingang Kontrollen verschachtelten Inneren <label>-Tags, um die Vorteile der automatischen Fokus Verlagerung in die Datei Eingabefeld auf der Hacker-Magazin. Wie bei den früheren berichtet Fragen dieser Frage könnte verwendet werden, um Kraft zu einem Benutzer beliebige Dateien hochzuladen Übernahme der Angreifer kennt den vollständigen Pfad und den Namen der Datei.
Diese Bugs sind Variationen über die frühere Probleme berichtet von Charles McAuley und Michal Zalewski, wurden die in Firefox 2.0.0.4, sowie eine Ausgabe berichtet von der hong festgelegt wurde in Firefox 2.0.0.8.
Gregory Fleisher auch eine Reihe von Demonstrationen der verschiedenen Wege zu locken eines Benutzers zu platzieren Schwerpunkt in die Datei manuell Eingabekontrolle. Diese Demonstrationen enthalten "focus-Spoofing" selektive Erfassung von Tastatureingaben und Platzierung der Figuren gefangen genommen, wenn der Nutzer glaubt, der Fokus sollte.Referenzen
- MFSA 2008-01
Abstürze mit der Evidenz des Speichers Korruption (rv: 1.8.1.12)
Beschreibungen
Mozilla-Entwickler identifiziert und behoben mehrere Bugs in der Stabilität der Browser-Engine in Firefox 2.0.0.12 und andere Mozilla-basierte Produkte. Einige dieser Abstürze zeigte Anzeichen für Speicher Korruption unter bestimmten Umständen, und wir gehen davon aus, dass mit genügend Anstrengungen zumindest einige dieser genutzt werden könnten, um beliebigen Code auszuführen.
Thunderbird teilt die Browser-Engine mit Firefox und könnte anfällig waren, wenn JavaScript aktiviert sein in der Mail. Dies ist nicht die Standardeinstellung, und wir stark entmutigen User aus laufen Sie JavaScript in mail. Ohne eine weitere Untersuchung können wir nicht ausschließen, dass für einige dieser ein Angreifer könnte zur Vorbereitung Speicher für Ausbeutung durch einige andere Mittel als JavaScript wie große Bilder.
Referenzen
Thunderbird Security Release
Thunderbird 2.0.0.12 Zeitplan ist zu Release am 28. Februar.
Externe Links
- 8. Februar 2008 um 3:45 pm
- 8. Februar 2008 um 5:09 pm
- 0,3
- URL
"schreiben, als ob Sie sich unterhielten, ein guter Freund (vor Ihrer Mutter)."
. Ihre Meinung zählt
Disclaimer: Für alle Inhalte, die Sie veröffentlichen, gewähren Sie hiermit zu Kakkoi die gebührenfreie, unwiderrufliche, unbefristete, exklusive und vollständig sublizenzierbare Lizenz zu nutzen, zu reproduzieren, zu modifizieren, anzupassen, zu veröffentlichen, zu übersetzen, abgeleitete Arbeiten erstellen, verteilen, die Durchführung und den Anzeige solcher Inhalte ganz oder teilweise, welt-weit zu tragen und sie in anderen Werken, in irgendeiner Form, Medien oder Technologie jetzt bekannt ist oder später entwickelt. Some rights reserved.
Eine Antwort auf "Firefox 2.0.0.12 Sicherheits-Release"
[...] Anzeigen Original hier: Firefox 2.0.0.12 Sicherheits-Release [...]