CERT-FI haavoittuvuustiedote 038/2005

8.5.2005

Haavoittuvuus Mozilla Firefox -selaimessa


Kohde:	- työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

Mozilla Firefox -selainohjelmasta on löydetty haavoittuvuus, joka liittyy Firefoxin tapaan käsitellä muokattua "IFRAME-tagin" "src" -parametria tai "InstallTrigger.install()"-funktion "iconURL" -parametria (funktiota kutsutaan, kun asennetaan Firefoxin laajennuksia, kuten teemoja), ja jonka ansiosta hyökkääjän on mahdollista suorittaa haavoittuvan selainohjelman välityksellä kohdejärjestelmässä omaa JavaScript-koodiaan.

Haavoittuvuutta on mahdollista hyväksikäyttää www-sivuston tai sähköpostiviestin välityksellä.

HAAVOITTUVAT OHJELMISTOT:

Mozilla Firefox -selainohjelmiston versio 1.0.3 ja tätä aikaisemmat selainohjelmaversiot

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva Firefox-selainohjelmisto versioon 1.0.4 osoitteesta:

http://www.mozilla.org/products/firefox/

LISÄTIETOA:

http://www.frsirt.com/english/advisories/2005/0493

http://www.securityfocus.com/bid/13544/info/

http://secunia.com/advisories/15292/

http://www.mozilla.org/products/firefox/

http://www.mozilla.org/security/announce/mfsa2005-42.html

PÄIVITYSHISTORIA:

08.05.2005: Julkaistu
09.05.2005: Lisätty tietoa haavoittuvuudesta sekä tietolähteistä
12.05.2005: Lisätty tietoa haavoittuvuuden korjaavasta uudesta ohjelmistoversiosta

Sivua päivitetty 17.07.2007

Tulostusversio