Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Haavoittuvuudet > 2010 > CERT-FI haavoittuvuustiedote 033/2010

CERT-FI haavoittuvuustiedote 033/2010

Palvelimet ja palvelinsovellukset Työasemat ja loppukäyttäjäsovellukset Verkon aktiivilaitteet Matkaviestimet Sulautetut järjestelmät Muut

18.2.2010

Viisi haavoittuvuutta Mozillan tuotteissa

     
Kohde: - työasemat ja loppukäyttäjäsovellukset
Lisätietoja
Hyökkäystapa: - etäkäyttö
Lisätietoja
Hyväksikäyttö: - komentojen mielivaltainen suorittaminen
- palvelunestohyökkäys
- suojauksen ohittaminen
Lisätietoja
Ratkaisu: - korjaava ohjelmistopäivitys
Lisätietoja
Mozilla Firefoxista, Thunderbirdistä ja Seamonkeystä on löytynyt haavoittuvuuksia, joista kolme luokitellaan kriittiseksi ja kaksi lieväksi.

MFSA 2010-01 (CVE-2010-0159)

Houkuttelemalla käyttäjä avaamaan tietyllä tavalla muokattu sivu, selain on mahdollista kaataa. Selaimen kaatuminen voi johtaa muistin korruptoitumiseen ja saattaa mahdollistaa hyökkääjän oman ohjelmakoodin ajamisen kohdejärjestelmässä.

Haavoittuvuutta voi kiertää poistamalla JavaScriptin käytöstä.

MFSA 2010-02 (CVE-2010-0160)

Johtuen Web Workerin tavasta käsitellä virheellisesti muotoiltuja tietoja, hyökkääjän on mahdollista kaataa käyttäjän selain ja sen avulla suorittaa omaa ohjelmakoodiaan kohdejärjestelmässä.

MFSA 2010-03 (CVE-2009-1571)

Muistinkäsittelyvirheestä johtuvan haavoittuvuuden avulla hyökkääjän on mahdollista vapauttaa selaimen käyttämää muistia. Virheestä johtuen vapautetun muistin tilan voi tietyissä tilanteissa varata oman hyökkääjän oman ohjelmakoodin käyttöön.

MFSA 2010-04 (CVE-2009-3988)

Haavoittuvuus tiettyjen objektien ominaisuuksien välittämisessä voi johtaa ei-luotetun JavaScriptin ajamiseen selaimessa.

MFSA 2010-05 (CVE-2010-0162)

Haavoittuvuus SVG-tiedostojen näyttämisessä käyttäen embed-elementtiä voi johtaa komentojen suorituksen estävän suojauksen ohittamiseen. Haavoittuvuutta voidaan käyttää hyväksi lataamalla sivustolle JavaScriptiä sisältävä SVG-tiedosto ja houkuttelemalla käyttäjä avaamaan luotu tiedosto.

HAAVOITTUVAT OHJELMISTOT:

  • Firefox ennen versiota 3.6
  • Firefox 3.5-sarja ennen versiota 3.5.8
  • Firefox 3.0-sarja ennen versiota 3.0.18
  • Thunderbird ennen versiota 3.0.2
  • SeaMonkey ennen versiota 2.0.3

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä ohjelmisto käyttäen päivitystyökalua tai lataamalla uusi versio Firefoxin, Thunderbirdin tai SeaMonkeyn sivuilta.

LISÄTIETOA:

PÄIVITYSHISTORIA:

18.2.2010, kello 15.55: Julkaistu

Sivua päivitetty 18.02.2010   Tulostusversio Tulostusversio