CERT-FI haavoittuvuustiedote 067/2004

15.9.2004

Useita haavoittuvuuksia Mozilla-selainohjelmissa

Kohde:	- työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- paikallisesti - etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

Mozilla-selainohjelmat ovat laajasti käytössä olevia avoimeen lähdekoodiin perustuvia selainohjelmia. Mozilla-selainohjelmista on löydetty kymmenen haavoittuvuutta.

Haavoittuvuudet sijaitsevat lähdekoodin eri puolilla ja liittyvät muun muassa POP3-sähköpostin käsittelyyn sekä vialliseen BMP-muotoisten kuvatiedostojen käsittelyyn. Löydetystä haavoittuvuuksista vakavimpia hyväksikäyttämällä hyökkääjän voi olla mahdollista ajaa kohdejärjestelmässä omia komentojaan järjestelmään kirjautuneen käyttäjän oikeuksilla.

HAAVOITTUVAT OHJELMISTOT:

• Mozilla 0.x - Mozilla 1.7.x

• Mozilla Firefox 0.x

• Mozilla Thunderbird 0.x

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva ohjelmisto valmistajan ohjeiden mukaisesti:

http://www.mozilla.org/projects/security/known-vulnerabilities.html

Haavoittuvuus on korjattu seuraavissa Mozillan versioissa:

• Mozilla 1.7.3

• Mozilla Firefox 1.0 Preview Release

• Mozilla Thunderbird 0.8

LISÄTIETOA:

http://www.mozilla.org/projects/security/known-vulnerabilities.html

http://secunia.com/advisories/12526/

CVE-2004-0902 CVE-2004-0903 CVE-2004-0904
CVE-2004-0905 CVE-2004-0906 CVE-2004-0907
CVE-2004-0908 CVE-2004-0909

PÄIVITYSHISTORIA:

15.09.2004: Julkaistu

Sivua päivitetty 27.07.2007

Tulostusversio