Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Haavoittuvuudet > 2006 > CERT-FI haavoittuvuustiedote 062/2006

CERT-FI haavoittuvuustiedote 062/2006

Palvelimet ja palvelinsovellukset Työasemat ja loppukäyttäjäsovellukset Verkon aktiivilaitteet Matkaviestimet Sulautetut järjestelmät Muut

20.12.2006

Haavoittuvuuksia Mozilla-ohjelmistoissa

     
Kohde: - työasemat ja loppukäyttäjäsovellukset
Lisätietoja
Hyökkäystapa: - ilman kirjautumista
- etäkäyttö
Lisätietoja
Hyväksikäyttö: - komentojen mielivaltainen suorittaminen
- luottamuksellisen tiedon hankkiminen
Lisätietoja

Firefox -selainohjelmistosta ja Thunderbird -sähköpostiohjelmistosta on löydetty useita vakavia haavoittuvuuksia, joita hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa kohdetietojärjestelmässä omia komentojaan.

Haavoittuvuuksista ensimmäinen on RSS-jakelujen esikatselussa tapahtuva tietovuoto, joka saattaa paljastaa käyttäjän selailutottumuksia.

Toinen haavoittuvuus liittyy sivukommenttien käsittelyssä tapahtuvaan muistin korruptoitumiseen. Haavoittuvuutta hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa kohdetietojärjestelmässä omia komentojaan.

Kolmas haavoittuvuus liittyy kuvaelementtien käsittelyssä tapahtuvaan Cross-Site Scripting tyyppiseen javakoodin injektoimiseen. Haavoittuvuutta hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa kohdetietojärjestelmässä omia komentojaan.

Neljäs haavoittuvuus liittyy LiveConnectissa tapahtuvaan muistin korruptoitumiseen. Haavoittuvuutta hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa kohdetietojärjestelmässä omia komentojaan.

Viides haavoittuvuus liittyy Mozilla-ohjelmistojen tapaan käsitellä javascriptin watch()-funktiota. Haavoittuvuutta hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa kohdetietojärjestelmässä omia komentojaan.

Kuudes haavoittuvuus liittyy tyylisivujen käsittelyssä tapahtuvaan puskurin ylivuotoon. Haavoittuvuutta hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa kohdetietojärjestelmässä omia komentojaan.

Uudessa päivitysversiossa on myös korjattu useita ohjelmiston kaatumiseen johtaneita virheitä, joita hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa kohdetietojärjestelmässä omia komentojaan.

Lisäksi Mozilla Tunderbirdissä on korjattu sähköpostien otsikkotietojen käsittelyssä tapahtuva puskurin ylivuoto. Haavoittuvuutta hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa kohdetietojärjestelmässä omia komentojaan.

HAAVOITTUVAT OHJELMISTOT:

  • Mozilla Firefoxin versiota 1.5.0.9 aiemmat versiot
  • Mozilla Firefoxin versiota 2.0.0.1 aiemmat versiot
  • Mozilla Thunderbirdin versiota 1.5.0.9 aiemmat versiot

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuvat ohjelmistot valmistajan ohjeiden mukaisesti:

http://www.mozilla.com/firefox/
http://www.mozilla.com/thunderbird/

LISÄTIETOA:

PÄIVITYSHISTORIA:

20.12.2006: Julkaistu

Sivua päivitetty 11.03.2007   Tulostusversio Tulostusversio