CERT-FI haavoittuvuustiedote 062/2009

17.7.2009

Kriittinen haavoittuvuus Mozilla Firefoxissa

Kohde:	- työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys - ongelman rajoittaminen	Lisätietoja

Mozilla Firefoxin Javascriptin käsittelyssä on havaittu haavoittuvuus. Haavoittuvuutta voidaan hyväksikäyttää houkuttelemalla käyttäjä tietyllä tavalla tehdylle web-sivulle. Haavoittuvuuden avulla hyökkääjän on mahdollista suorittaa omaa koodiaan kohdejärjestelmässä. Haavoittuvuuteen on myös olemassa julkinen hyväksikäyttömenetelmä, ja Mozilla on luokitellut haavoittuvuuden kriittiseksi.

HAAVOITTUVAT OHJELMISTOT:

• Mozilla Firefox 3.5
  

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä Mozilla Firefox versioon 3.5.1, lataamalla uusi versio tai käyttämällä Firefoxin omaa päivitystyökalua.

Haavoittuvuutta voi rajoittaa ottamalla Javascriptin JIT (Just-In-Time) kääntäjän pois käytöstä ohjeiden mukaisesti.

LISÄTIETOA:

• http://www.mozilla.org/security/announce/2009/mfsa2009-41.html
• http://blog.mozilla.com/security/2009/07/14/critical-javascript-vulnerability-in-firefox-35/
• CVE-2009-2477

PÄIVITYSHISTORIA:

17.7.2009, kello 13.57: Julkaistu
17.7.2009, kello 14.58: Tarkennettu haavoittuvaa ohjelmistoversiota.

Sivua päivitetty 17.07.2009

Tulostusversio