Firefox 2.0.0.12 Aggiornamento della protezione corregge 7 vulnerabilità critica e 3 patch (la corruzione della memoria, del motore JavaScript Crashes).
Conosciuto Vulnerabilità in prodotti Mozilla (Firefox 2.0.0.11)
- MFSA 2008-11
Sito web contraffatto sovrascrivere sovrapposizione con div
Descrizioni
Sicurezza ricercatori Emil Ljungdahl e Lars-Olof Moilanen dimostrato che, nei casi in cui l'intero contenuto di una pagina sono racchiusi in un <div> con il posizionamento assoluto, un sito web contraffatto finestra di avviso non verrà visualizzato a meno che l'utente passa schede di distanza dal - poi back-to la falsificazione pagina.
Riferimenti
- MFSA 2008-10
URL gettone furto tramite foglio di stile di reindirizzamento
Descrizioni
Sicurezza ricercatore Martin Straka riferito che browser basati su Gecko aggiornare l'. Href proprietà del foglio di stile DOM nodi per riflettere la finale URI del foglio di stile dopo aver seguito tutte le 302 reindirizzamenti (molto document.location come la proprietà è aggiornata). Questo differisce da altri browser e potrebbero rivelare parametri URL sensibili, come quelli utilizzati dal singolo signon sytems, agli script della pagina.
Riferimenti
- MFSA 2008-09
Cattiva gestione della salvati localmente file di solo testo
Descrizioni
Mozilla contribuente oo.rio.oo dimostrato che, una volta che un file con Content-Disposition: attachment e (improprio) Content-Type: plain / testo viene salvato localmente, il browser non avrebbe più aperto con i file locali. Txt proroghe per la visualizzazione, ma invece di richiedere all'utente di salvare il file.
Riferimenti
- MFSA 2008-08
Azione di file finestra di dialogo di manomissione
Descrizioni
Ricercatore di sicurezza Michal Zalewski ha dimostrato che il timer di sicurezza abilitato le finestre di dialogo possono essere sovvertite da pirati informatici che utilizzano JavaScript per modificare la finestra di messa a fuoco. Zalewski ha dimostrato che un utente potrebbe essere portati con l'inganno in confermando una cauzione finestra di dialogo di questo tipo da portare di nuovo la finestra di dialogo in centro a destra prima di un utente ha fatto clic in un prevedibile tempo e di luogo.
Riferimenti
- MFSA 2008-06
L'esplorazione del Web e trasmettere la storia di navigazione rubare
Descrizioni
Mozilla contribuente David Bloom segnalato una vulnerabilità nel modo in cui le immagini vengono trattati dal browser quando un utente lascia una pagina che utilizza i frame designMode. Il problema segnalato può essere utilizzato per rubare un utente di navigazione storia, trasmettere informazioni di navigazione, e crashare il browser dell'utente. L'incidente ha mostrato la prova della corruzione della memoria e potrebbe essere sfruttata per eseguire codice arbitrario.
Riferimenti
- MFSA 2008-05
Directory trasversale attraverso cromo: URI
Descrizioni
Gerry Eisenhaur denunciato il cromo: URI regime impropriamente consentito directory trasversale che potrebbe essere utilizzato per caricare JavaScript, immagini e fogli di stile da file locali nella nota località. Questo trasversale è stata possibile solo quando il browser ha installato add-on che hanno utilizzato "piatto" imballaggio piuttosto che la più popolare. Vaso di imballaggio, e l'utente malintenzionato avrebbe bisogno di tale obiettivo specifico add-on.
Mozilla ricercatore moz_bug_r_a4 riferito che questa vulnerabilità potrebbe essere utilizzata per rubare il contenuto del browser sessionstore.js file, che contiene cookie di sessione dati e delle informazioni attualmente aperto su pagine web.
Riferimenti
- MFSA 2008-04
La password memorizzata la corruzione
Descrizioni
Mozilla Developer Justin Dolske scoperto che i siti "maligni", su un utente risparmio sua password, potrebbe iniettare in capo la password di Firefox e corrotti memorizzare le password salvate per altri siti.
Riferimenti
- MFSA 2008-03
Privilege escalation, XSS, l'esecuzione di codice remoto
Descrizioni
Mozilla contribuenti moz_bug_r_a4 e Boris Zbarsky ha presentato una serie di vulnerabilità che permettono di script dal contenuto della pagina a fuggire dal suo contesto sandbox e / o eseguito con i privilegi di cromo. Un ulteriore vulnerabilità segnalate da moz_bug_r_a4 dimostrato che la XMLDocument.load () funzione può essere utilizzata per iniettare script in un altro sito, violando il browser della stessa origine politica.
Riferimenti
- MFSA 2008-02
File di input multiple concentrarsi rubare vulnerabilità
Descrizioni
Sicurezza e ricercatori di Hong Gregorio Fleisher ogni riportato una variante per bug segnalati in precedenza in materia di messa a fuoco spostando nel file di input controlli. Loro varianti di file utilizzato controlli di input annidati all'interno <label> tag a prendere vantaggio di messa a fuoco automatica spostando il file in ingresso campo osservato sul Hacker WebZine. Come nelle precedenti questioni riferito questo problema potrebbe essere usato per forzare un utente di caricare file arbitrari assumendo l'attaccante conosce il percorso completo e il nome del file.
Questi bug sono variazioni sul precedenti problemi segnalati da Charles McAuley e Michal Zalewski, che sono stati fissati in Firefox 2.0.0.4, così come un problema segnalato da Hong quale è stato fissato in Firefox 2.0.0.8.
Gregorio Fleisher ha inoltre presentato una serie di dimostrazioni di diversi modi per attirare un utente di luogo concentrarsi in un file di input di controllo manualmente. Queste dimostrazioni incluso "focus" spoofing "di catturare selettivamente le battute di tastiera e di immissione caratteri catturato in cui l'utente ritiene che l'attenzione debba essere.Riferimenti
- MFSA 2008-01
Va in crash con la prova della corruzione della memoria (rv: 1.8.1.12)
Descrizioni
Mozilla sviluppatori individuato e corretto diversi bug stabilità nel browser utilizzato motore di Firefox 2.0.0.12 Mozilla e di altri prodotti a base di. Alcuni di questi arresti hanno mostrato evidenza di corruzione della memoria in determinate circostanze e si presume che con sufficiente sforzo almeno alcuni di questi potrebbe essere sfruttato per eseguire codice arbitrario.
Thunderbird condivide il motore del browser con Firefox e potrebbero essere vulnerabili se JavaScript dovesse essere attivato in posta. Questo non è l'impostazione predefinita e si scoraggiano fortemente gli utenti di eseguire JavaScript nel posta. Senza ulteriori indagini, non possiamo escludere la possibilità che per alcuni di questi a un utente malintenzionato potrebbe essere in grado di preparare la memoria per lo sfruttamento attraverso alcuni mezzi diversi da JavaScript, come immagini di grandi dimensioni.
Riferimenti
Sicurezza rilascio thunderbird
Thunderbird 2.0.0.12 calendario è di essere rilascio il giorno 28 Febbraio.
Link esterni al sito
- 8 febbraio 2008 a 3:45 pm
- 8 febbraio 2008 a 5:09 pm
- 0,3
- url
"scrivere come se si trattasse di parlare di un buon amico (di fronte a tua madre)."
. Dite la vostra
Disclaimer: Per qualsiasi contenuto che si posta, si dichiara di concedere Kakkoi il titolo gratuito, irrevocabile, perpetuo, esclusivo e pienamente sublicensable licenza di utilizzare, riprodurre, modificare, adattare, pubblicare, tradurre, creare opere derivate, distribuire, eseguire e visualizzare tali contenuti in tutto o in parte, in tutto il mondo e di incorporare in altri lavori, in qualsiasi forma, media o tecnologia attualmente conosciuta o sviluppata successivamente. Alcuni diritti riservati.
Una risposta a "la sicurezza di Firefox 2.0.0.12 Release"
[...] Guarda originale qui: Firefox 2.0.0.12 Release sicurezza [...]