CERT-FI haavoittuvuustiedote 116/2008

24.9.2008

Mozilla Firefox, SeaMonkey ja Thunderbird -ohjelmistoissa haavoittuvuuksia

Kohde:	- työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- paikallisesti - etäkäyttö - ilman käyttäjän toimia	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen - käyttövaltuuksien laajentaminen - luottamuksellisen tiedon hankkiminen - palvelunestohyökkäys	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys - ongelman rajoittaminen	Lisätietoja

Mozilla -ohjelmistoissa on löytynyt useita haavoittuvuuksia. Osa haavoittuvuuksista on luokiteltu kriittisiksi.
Firefox ja SeaMonkey -selainten kriittiset haavoittuvuudet mahdollistavat JavaScript-koodin suorittamisen laajennetuin käyttövaltuuksin sekä selainten kaatamisen. Kaatumisen yhteydessä hyökkääjällä voi olla mahdollista suorittaa järjestelmässä omia komentojaan.
Firefox 2 sekä SeaMonkey -selaimista on lisäksi löydetty kriittinen haavoittuvuus, joka liittyy komentoriviltä suoritettavien URL-osoitteiden käsittelyyn. Myös tätä haavoittuvuutta hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa järjestelmässä omia komentojaan.
Osa haavoittuvuuksista voi koskea myös Thunderbird -sähköpostiohjelmistoa, mikäli sähköpostin JavaScript-tuki on käytössä. Oletusarvoisesti sitä ei ole kytketty päälle.

Valmistajan jälkikäteen julkaisemassa tiedotteessa ilmoitetaan yhden Firefox 3 -selaimen korjauksista olevan virheellinen. Virheen takia selaimeen tallennettuihin tunnussanoihin ei pääse käsiksi. Vika on korjattu Mozilla Firefox versiossa 3.0.3.

HAAVOITTUVAT OHJELMISTOT:

• Mozilla Firefox ennen versiota 3.0.2
• Mozilla Firefox ennen versiota 2.0.0.17
• Mozilla Thunderbird ennen versiota 2.0.0.17
• Mozilla SeaMonkey ennen versiota 1.1.12

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuvat ohjelmistot seuraaviin korjattuihin versioihin:

• Mozilla Firefox 2.0.0.17 ja 3.0.3
• Mozilla Thunderbird 2.0.0.17
• Mozilla SeaMonkey 1.1.12

Päivityksen voi tehdä automaattisella päivitystoiminnolla tai asentamalla uudet ohjelmistoversiot osoitteista http://www.mozilla.com/ ja http://www.seamonkey-project.org/.

LISÄTIETOA:

• http://www.mozilla.org/security/announce/2008/mfsa2008-37.html
• http://www.mozilla.org/security/announce/2008/mfsa2008-38.html
• http://www.mozilla.org/security/announce/2008/mfsa2008-39.html
• http://www.mozilla.org/security/announce/2008/mfsa2008-40.html
• http://www.mozilla.org/security/announce/2008/mfsa2008-41.html
• http://www.mozilla.org/security/announce/2008/mfsa2008-42.html
• http://www.mozilla.org/security/announce/2008/mfsa2008-43.html
• http://www.mozilla.org/security/announce/2008/mfsa2008-44.html
• http://www.mozilla.org/security/announce/2008/mfsa2008-45.html
• CVE-2008-0016, CVE-2008-3835, CVE-2008-3836, CVE-2008-3837,
• CVE-2008-4058, CVE-2008-4059, CVE-2008-4060, CVE-2008-4061,
• CVE-2008-4062, CVE-2008-4063, CVE-2008-4064, CVE-2008-4065,
• CVE-2008-4066, CVE-2008-4067, CVE-2008-4068, CVE-2008-4069

PÄIVITYSHISTORIA:

24.9.2008, kello 12.22: Julkaistu
26.9.2008, kello 9.10: Lisätty tieto Mozilla Thunderbird 2.0.0.17 julkaisusta
26.9.2008, kello 20.38: Lisätty tieto yhden päivityksen aiheuttamasta viasta sekä siihen liittyvästä korjauksesta
27.9.2008, kello 7.56: Lisätty tieto Mozilla Firefox 3.0.3 julkaisusta

Sivua päivitetty 27.09.2008

Tulostusversio