CERT-FI haavoittuvuustiedote 034/2010

19.2.2010

Haavoittuvuus Mozilla Firefox -selaimessa

Kohde:	- työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

Mozilla Firefox-selaimesta on löydetty haavoittuvuus, jonka avulla hyökkääjä voi suorittaa haluamansa ohjelmakoodia kohdejärjestelmässä selaimen käyttäjän oikeuksin. Haavoittuvuutta voidaan hyväksikäyttää houkuttelemalla käyttäjä tietyllä tavalla muokatulle sivustolle.

Päivitetty 26.2.2010: Ilmoitetusta haavoittuvuudesta ei ole vieläkään tullut lisätietoja eikä vahvistusta.

Päivitetty 19.3.2010: Mozilla on vahvistanut haavoittuvuuden ja ilmoittaa, että korjattu versio ohjelmistosta julkaistaan 30.3.2010.

Päivitetty 23.3.2010: Mozilla on julkaissut korjatun version ohjelmistostaan etuajassa.

HAAVOITTUVAT OHJELMISTOT:

• Mozilla Firefox 3.6

Aikaisemmat versiot eivät ole haavoittuvia. On myös huomioimisen arvoista, että versiota 3.6.1 ei koskaan ole julkaistu.

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva ohjelmisto versioon 3.6.2 käyttäen automaattista päivitystyökalua tai lataamalla korjattu versio Mozillan sivuilta.

LISÄTIETOA:

• http://www.mozilla.org/security/announce/2010/mfsa2010-08.html
• http://secunia.com/advisories/38608/
• https://forum.immunityinc.com/board/thread/1161/vulndisco-9-0/
• http://blog.mozilla.com/security/2010/03/18/update-on-secunia-advisory-sa38608/
• CVE-2010-1028
  

PÄIVITYSHISTORIA:

19.2.2010, kello 14.45: Julkaistu
26.2.2010, kello 11.05: Päivitetty tieto vahvistamattomuudesta
19.3.2010, kello 22.10: Päivitetty tieto haavoittuvuuden vahvistuksesta ja korjausaikataulusta
23.3.2010, kello 11.29: Päivitetty tieto haavoittuvuuden korjauksesta

Sivua päivitetty 23.03.2010

Tulostusversio