天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧系统 >> 正文

Mozilla产品存在多个远程安全漏洞

2008-4-8赛迪网技术社区佚名

Mozilla产品存在多个远程安全漏洞 

 
受影响系统:

 

  RedHat Enterprise Linux WS 3
    RedHat Enterprise Linux ES 3
    RedHat Enterprise Linux AS 3
    Mozilla Firefox < 1.5.0.5
    Mozilla Thunderbird < 1.5.0.5
    Mozilla SeaMonkey < 1.0.3
 


不受影响系统:

 

  Mozilla Firefox 1.5.0.5
    Mozilla Thunderbird 1.5.0.5
    Mozilla SeaMonkey 1.0.3
 

 

描述:


BUGTRAQ ID: 19181

CVE(CAN) ID: CVE-2006-3113,CVE-2006-3677,CVE-2006-3801,CVE-2006-3802,CVE-2006-3803,CVE-2006-3804,CVE-2006-3805,CVE-2006-3806,CVE-2006-3807,CVE-2006-3808,CVE-2006-3809,CVE-2006-3810,CVE-2006-3811,CVE-2006-3812

Mozilla Firefox/SeaMonkey/Thunderbird都是Mozilla发布的WEB浏览器和邮件新闻组客户端产品。


上述产品中存在多个安全漏洞,具体如下:


Firefox及其衍生产品处理某些javascript操作时存在几个漏洞。恶意的web页面可能以chrome权限执行任意javascript指令,允许窃取敏感信息或安装恶意的浏览器软件。(CVE-2006-3807,CVE-2006-3809,CVE-2006-3812)


Firefox及其衍生产品处理某种web内容时存在几个拒绝服务漏洞。恶意的web页面可能导致浏览器崩溃或以当前用户的权限执行任意代码。(CVE-2006-3801,CVE-2006-3677,CVE-2006-3113,CVE-2006-3803,CVE-2006-3805,CVE-2006-3806,CVE-2006-3811)


Firefox及其衍生产品显示畸形的内嵌vcard附件的方式存在缓冲区溢出漏洞。如果受害用户浏览了包含有特制vcard的邮件消息的话,就会以当前用户的权限执行任意代码。(CVE-2006-3804)


Firefox及其衍生产品处理某些javascript操作的方式存在几个漏洞。恶意的web页面可能导致执行跨站脚本攻击或窃取敏感信息,如其他域中的cookies。(CVE-2006-3802,CVE-2006-3810)


Firefox及其衍生产品处理Proxy AutoConfig脚本的方式存在漏洞。恶意的Proxy AutoConfig服务器可能以chrome权限执行任意javascript指令,允许页面窃取敏感信息或安装恶意的浏览器软件。(CVE-2006-3808)


<*来源:Thilo Girmann

ZDI (http://www.zerodayinitiative.com/)

Thor Larholm (Thor@jubii.dk)

H D Moore (hdm@metasploit.com)

Igor Bukanov

shutdown (shutdown@flashmail.com)

Georgi Guninski (guninski@guninski.com)

moz_bug_r_a4 (moz_bug_r_a4@yahoo.com)

Benjamin Smedberg

Daniel Veditz

链接:http://www.mozilla.org/security/announce/2006/mfsa2006-44.html

http://www.mozilla.org/security/announce/2006/mfsa2006-45.html

http://www.zerodayinitiative.com/advisories/ZDI-06-025.html

http://www.mozilla.org/security/announce/2006/mfsa2006-46.html

http://secunia.com/secunia_research/2006-53/advisory/

http://www.mozilla.org/security/announce/2006/mfsa2006-47.html

http://www.mozilla.org/security/announce/2006/mfsa2006-48.html

http://www.mozilla.org/security/announce/2006/mfsa2006-49.html

http://www.mozilla.org/security/announce/2006/mfsa2006-50.html

http://www.mozilla.org/security/announce/2006/mfsa2006-51.html

http://www.mozilla.org/security/announce/2006/mfsa2006-52.html

http://www.mozilla.org/security/announce/2006/mfsa2006-53.html

http://www.mozilla.org/security/announce/2006/mfsa2006-54.html

http://www.mozilla.org/security/announce/2006/mfsa2006-55.html

Mozilla Foundation Security Advisory 2006-56

http://www.auscert.org.au/render.html?it=6539template=1

http://www.us-cert.gov/cas/techalerts/TA06-208A.html

*>


建议:


临时解决方法:


* 禁用JavaScript。


* 禁止在线显示附件,不要点击或打开VCard附件。


* 禁用Proxy AutoConfig(默认设置)。


厂商补丁:


Mozilla


目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:


http://download.mozilla.org/?product=seamonkey-1.0.3&os=win&lang=en-US

http://www.mozilla.com/products/download.html?product=firefox-1.5.0.5&os=linux&lang=en-US

http://www.mozilla.com/products/download.html?product=thunderbird-1.5.0.5&os=linux&lang=en-US


RedHat

RedHat已经为此发布了一个安全公告(RHSA-2006:0608-01)以及相应补丁:

RHSA-2006:0608-01:Critical: seamonkey security update

相关链接:http://www.auscert.org.au/render.html?it=6539template=1

欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com

关注天下网吧微信,了解网吧网咖经营管理,安装维护:


本文来源:赛迪网技术社区 作者:佚名

声明
本文来源地址:0
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。若文章侵犯了您的相关权益,请及时与我们联系,我们会及时处理,感谢您对本站的支持!联系Email:support@txwb.com.,本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行