CERT-FI haavoittuvuustiedote 128/2009

16.12.2009

Firefoxin ja Seamonkeyn päivitykset korjaavat kriittisiä haavoittuvuuksia

Kohde:	- työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen - luottamuksellisen tiedon hankkiminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys - ongelman rajoittaminen	Lisätietoja

Mozilla Firefoxista ja Seamonkeyn selaimesta on löytynyt haavoittuvuuksia. Osa haavoittuvuuksista on Mozillan luokituksen mukaan kriittisiä. Kriittisten haavoittuvuuksien avulla hyökkääjä voi mahdollisesti suorittaa omaa ohjelmakoodiaan selaimen käyttäjän oikeustasolla. Mozilla on julkaissut haavoittuvuuksista seitsemän tietoturvatiedotetta.

Tiedote MFSA 2009-65: Haavoittuvuutta hyväksikäyttämällä voidaan aiheuttaa sovelluksen kaatuminen ja mahdollisesti suorittaa mielivaltaisesti komentoja

Tiedote MFSA 2009-66: Hyökkääjän on mahdollista kaataa kohteen selain liboggplay mediakirjaston haavoittuvuuden avulla ja suorittaa mielivaltaisesti komentoja. Mozilla Firefoxin versiot ennen 3.5 sarjaa eivät ole haavoittuvia.

Tiedote MFSA 2009-67: Firefoxin ja Seamonkeyn videokirjastosta löytyneen haavoittuvuuden avulla hyökkääjän on mahdollista suorittaa mielivaltaisesti komentoja kohdekoneella. Mozilla Firefoxin versiot ennen 3.5 sarjaa eivät ole haavoittuvia.

Tiedote MFSA 2009-68 Mozillan NTLM-toteutuksessa olevan haavoittuvuuden avulla hyökkääjä voi mahdollisesti saada ohjattua NTLM-tunnustietoja toiseen sovellukseen selaimen avulla.

Tiedote MFSA 2009-69: Käyttäjää voidaan huijata luulemaan olevansa muulla sivulla kuin todellisuudessa on, käyttämällä hyväksi osoitekentän haavoittuvuutta.

Tiedote MFSA 2009-70: Haavoittuvuuden avulla hyökkääjän on mahdollista ajaa omaa javascript-koodia, jos selaimeen on asennettu haavoittuvia lisäosia.

Tiedote MFSA 2009-71: GekkoActiveXObject-poikkeusilmoituksia voidaan käyttää COM-objektien olemassaolon tarkistukseen selaimessa, ja käyttää tätä tietoa muiden hyökkäysten valmisteluun.

Muutamat haavoittuvuudet ovat myöhemmin vahvistettu myös Thunderbird-sähköpostiohjelmassa (CERT-FI:n haavoittuvuustiedote 016/2010).

HAAVOITTUVAT OHJELMISTOT:

• Mozilla ennen versiota 3.5.6
• Mozilla ennen versiota 3.0.16
• SeaMonkey ennen versiota 2.0.1
  

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuvat ohjelmistot käyttäen automaattista päivitystyökalua tai lataamalla korjattu versio Mozillan sivuilta.

Tiedotteessa MFSA 2009-65 mainitun haavoittuvuuden vaikutuksia voi pienentää ottamalla javascriptin pois päältä kunnes korjattu ohjelmistoversio voidaan asentaa.

LISÄTIETOA:

• http://www.mozilla.org
• http://www.firefox.com
• CVE-2009-3388, CVE-2009-3389, CVE-2009-3983
• CVE-2009-3984, CVE-2009-3985, CVE-2009-3986
• CVE-2009-3987
• http://www.mozilla.org/security/announce/2009/mfsa2009-65.html
• http://www.mozilla.org/security/announce/2009/mfsa2009-66.html
• http://www.mozilla.org/security/announce/2009/mfsa2009-67.html
• http://www.mozilla.org/security/announce/2009/mfsa2009-68.html
• http://www.mozilla.org/security/announce/2009/mfsa2009-69.html
• http://www.mozilla.org/security/announce/2009/mfsa2009-70.html
• http://www.mozilla.org/security/announce/2009/mfsa2009-71.html
• https://bugzilla.mozilla.org/buglist.cgi?bug_id=515882,504613
  

PÄIVITYSHISTORIA:

16.12.2009, kello 14.52: Julkaistu
23.1.2010, kello 14.42: Lisätty tieto Thunderbird-sähköpostiohjelman haavoittuvuudesta

Sivua päivitetty 23.01.2010

Tulostusversio