CERT-FI haavoittuvuustiedote 107/2009
28.10.2009
Mozilla Firefox ja SeaMonkey -ohjelmistoissa haavoittuvuuksia
| |
|
|
| Kohde: |
- työasemat ja loppukäyttäjäsovellukset
|
Lisätietoja |
| Hyökkäystapa: |
- paikallisesti
- etäkäyttö
- ilman käyttäjän toimia
|
Lisätietoja |
| Hyväksikäyttö: |
- komentojen mielivaltainen suorittaminen
- käyttövaltuuksien laajentaminen
- luottamuksellisen tiedon hankkiminen
- palvelunestohyökkäys
- suojauksen ohittaminen
|
Lisätietoja |
| Ratkaisu: |
- korjaava ohjelmistopäivitys
- ongelman rajoittaminen
|
Lisätietoja |
Mozilla Firefox ja SeaMonkey -ohjelmistoista on löydetty useita haavoittuvuuksia. Kyseisiä haavoittuvuuksia on paikattu yhdentoista korjauksen edestä Firefox-selaimissa ja SeaMonkey on saanut kolme korjausta. Osa haavoittuvuuksista ovat luokitukseltaan kriittisiä.
Muistikäsittelyvirheistä johtuen useat haavoittuvuudet voivat johtaa ohjelman kaatumiseen tai komentojen mielivaltaiseen suorittamisen. Muistikäsittelyvirheitä on havaittu ainakin Mozillan omassa GIF-kuvien käsittelijässä sekä JavaScript-moottorissa. Lisäksi uusimassa Firefox-selaimessa on päivitetty äänen ja videon toistoon liittyviä kolmannen osapuolen kirjastoja (liboggz, libvorbis ja liboggplay).
HAAVOITTUVAT OHJELMISTOT:
- Firefox 3.0 ennen versiota 3.0.15
- Firefox 3.5 ennen versiota 3.5.4
- SeaMonkey ennen versiota 2.0
RATKAISU- JA RAJOITUSMAHDOLLISUUDET:
Päivitä ohjelmistot automaattisella päivitystoiminnolla tai hakemalla päivitetty versio valmistajan www-sivuilta.
Valmistaja suosittelee kytkemään pois JavaScript-tuen kunnes ohjelmistopäivitykset on asennettu.
LISÄTIETOA:
- http://www.mozilla.org/security/announce/2009/mfsa2009-52.html
- http://www.mozilla.org/security/announce/2009/mfsa2009-53.html
- http://www.mozilla.org/security/announce/2009/mfsa2009-54.html
- http://www.mozilla.org/security/announce/2009/mfsa2009-55.html
- http://www.mozilla.org/security/announce/2009/mfsa2009-56.html
- http://www.mozilla.org/security/announce/2009/mfsa2009-57.html
- http://www.mozilla.org/security/announce/2009/mfsa2009-59.html
- http://www.mozilla.org/security/announce/2009/mfsa2009-61.html
- http://www.mozilla.org/security/announce/2009/mfsa2009-62.html
- http://www.mozilla.org/security/announce/2009/mfsa2009-63.html
- http://www.mozilla.org/security/announce/2009/mfsa2009-64.html
- CVE-2009-1563, CVE-2009-3274, CVE-2009-3370, CVE-2009-3371
- CVE-2009-3372, CVE-2009-3373, CVE-2009-3374, CVE-2009-3375
- CVE-2009-3376, CVE-2009-3377, CVE-2009-3378, CVE-2009-3379
- CVE-2009-3380, CVE-2009-3381, CVE-2009-3382, CVE-2009-3383
- CVE-2009-0689
PÄIVITYSHISTORIA:
28.10.2009, kello 9.13: Julkaistu
12.12.2009, kello 20.16: Lisätty puuttuva CVE-numero (CVE-2009-0689)
| Sivua päivitetty 12.12.2009 |
|
 |
Tulostusversio |
|
