CERT-FI haavoittuvuustiedote 138/2008

13.11.2008

Mozilla Firefox, SeaMonkey ja Thunderbird -ohjelmistoissa haavoittuvuuksia

Kohde:	- työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- paikallisesti - etäkäyttö - ilman käyttäjän toimia	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen - käyttövaltuuksien laajentaminen - luottamuksellisen tiedon hankkiminen - palvelunestohyökkäys	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

Mozilla-ohjelmistoissa on löytynyt useita haavoittuvuuksia. Firefox 2 -selainta on paikattu yhdentoista haavoittuvuuden edestä. Kuusi haavoittuvuutta on luokiteltu kriittisiksi. Firefox 3 sekä SeaMonkey -selaimista on korjattu kymmenen haavoittuvuutta, joista viisi on luokitukseltaan kriittisiä. Myös Thunderbird-sähköpostiohjelmasta on löytynyt kuusi haavoittuvuutta, osa kriittisiä.
Haavoittuvuudet mahdollistavat käyttövaltuuksien laajentamisen, luottamuksellisen tiedon hankkimisen sekä selainten kaatamisen. Kaatumisen yhteydessä hyökkääjällä voi olla mahdollista suorittaa järjestelmässä omia komentojaan.
Mozilla suosittelee JavaScript-tuen sammuttamista kunnes päivitykset on asennettu. Tämä koskee erityisesti Thunderbird-sähköpostiohjelmistoa. Thunderbird-sähköpostiohjelmiston JavaScript-tuki ei oletusarvoisesti ole kytketty päälle.

HAAVOITTUVAT OHJELMISTOT:

• Mozilla Firefox ennen versiota 2.0.0.18
• Mozilla Firefox ennen versiota 3.0.4
• Mozilla Thunderbird ennen versiota 2.0.0.18
• Mozilla SeaMonkey ennen versiota 1.1.13

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuvat ohjelmistot seuraaviin korjattuihin versioihin:

• Mozilla Firefox 2.0.0.18
• Mozilla Firefox 3.0.4
• Mozilla Thunderbird 2.0.0.18
  
• Mozilla SeaMonkey 1.1.13

Päivityksen voi tehdä automaattisella päivitystoiminnolla tai asentamalla uudet ohjelmistoversiot osoitteista http://www.mozilla.com/, http://www.mozilla.com/thunderbird/ ja http://www.seamonkey-project.org/.

LISÄTIETOA:

• http://www.mozilla.org/security/announce/2008/mfsa2008-47.html
• http://www.mozilla.org/security/announce/2008/mfsa2008-48.html
• http://www.mozilla.org/security/announce/2008/mfsa2008-49.html
• http://www.mozilla.org/security/announce/2008/mfsa2008-50.html
• http://www.mozilla.org/security/announce/2008/mfsa2008-51.html
• http://www.mozilla.org/security/announce/2008/mfsa2008-52.html
• http://www.mozilla.org/security/announce/2008/mfsa2008-53.html
• http://www.mozilla.org/security/announce/2008/mfsa2008-54.html
• http://www.mozilla.org/security/announce/2008/mfsa2008-55.html
• http://www.mozilla.org/security/announce/2008/mfsa2008-56.html
• http://www.mozilla.org/security/announce/2008/mfsa2008-57.html
• http://www.mozilla.org/security/announce/2008/mfsa2008-58.html
• http://www.mozilla.org/security/announce/2008/mfsa2008-59.html
  
• CVE-2008-0017, CVE-2008-4582, CVE-2008-5012, CVE-2008-5013,
• CVE-2008-5014, CVE-2008-5015, CVE-2008-5016, CVE-2008-5017,
• CVE-2008-5018, CVE-2008-5019, CVE-2008-5021, CVE-2008-5022,
• CVE-2008-5023, CVE-2008-5024

PÄIVITYSHISTORIA:

13.11.2008, kello 8.58: Julkaistu
20.11.2008, kello 10.25: Thunderbird-päivitys

Sivua päivitetty 20.11.2008

Tulostusversio