CERT-FI haavoittuvuustiedote 060/2010

31.3.2010

Haavoittuvuuksia Mozillan tuotteissa

Kohde:	- työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen - käyttövaltuuksien laajentaminen - luottamuksellisen tiedon hankkiminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys - ongelman rajoittaminen	Lisätietoja

Mozilla Firefoxista, Thunderbirdistä ja Seamonkeystä on löytynyt yhdeksän haavoittuvuutta, joista viisi luokitellaan kriittiseksi ja yksi tärkeäksi. Loput haavoittuvuudet ovat luokitukseltaan matalia. Kriittisistä haavoittuvuuksista kolme voidaan kiertää poistamalla JavaScript käytöstä.

Tietoturvatiedotteen MFSA 2010-22 mukaan Mozillan tuotteet (paitsi Firefox 3.0-sarja) ovat saaneet päivityksen myös TLS-protokollan toteutuksesta löytyneeseen haavoittuvuuden, jonka avulla voidaan suorittaa niin sanottu MITM- eli man in the middle -hyökkäys. Päivitys kuitenkin edellyttää, että parametri security.ssl.require_safe_negotiation asetetaan käsin arvoksi true. Olemme seuranneet TLS-protokollan haavoittuvuutta CERT-FI:n haavoittuvuustiedoteessa 113/2009.

HAAVOITTUVAT OHJELMISTOT:

• Firefox ennen versiota 3.6.2
• Firefox 3.5-sarja ennen versiota 3.5.9
• Firefox 3.0-sarja ennen versiota 3.0.19
• Thunderbird ennen versiota 3.0.4
• SeaMonkey ennen versiota 2.0.4
  

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä ohjelmisto käyttäen päivitystyökalua tai lataamalla uusi versio Firefoxin, Thunderbirdin tai SeaMonkeyn sivuilta.

LISÄTIETOA:

• http://www.mozilla.org/security/announce/2010/mfsa2010-16.html
• http://www.mozilla.org/security/announce/2010/mfsa2010-17.html
• http://www.mozilla.org/security/announce/2010/mfsa2010-18.html
• http://www.mozilla.org/security/announce/2010/mfsa2010-19.html
• http://www.mozilla.org/security/announce/2010/mfsa2010-20.html
• http://www.mozilla.org/security/announce/2010/mfsa2010-21.html
• http://www.mozilla.org/security/announce/2010/mfsa2010-22.html
• http://www.mozilla.org/security/announce/2010/mfsa2010-23.html
• http://www.mozilla.org/security/announce/2010/mfsa2010-24.html
• CVE-2009-3555, CVE-2010-0173, CVE-2010-0174, CVE-2010-0175,
• CVE-2010-0176, CVE-2010-0177, CVE-2010-0178, CVE-2010-0179,
• CVE-2010-0181, CVE-2010-0182
  

PÄIVITYSHISTORIA:

31.3.2010, kello 12.27: Julkaistu

Sivua päivitetty 31.03.2010

Tulostusversio