Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Varoitukset > 2006 > CERT-FI varoitus 23/2006

CERT-FI varoitus 23/2006

14.4.2006

Haavoittuvuuksia Mozilla -ohjelmistoissa


Firefox -selainohjelmistosta on löydetty haavoittuvuuksia, joita hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa kohdetietojärjestelmässä omia komentojaan, laajentaa omia käyttöoikeuksiaan tai varastaa tiedostoja. Osa haavoittuvuuksista toimii tietyin rajoituksin myös Thunderbird -sähköpostiohjelmassa ja SeaMonkey -internetohjelmistossa.

Ensimmäinen haavoittuvuus liittyy sivukomponenttien muokkaamiseen dynaamisesti. Haavoittuvuutta hyväksikäyttämällä hyökkääjän voi olla mahdollista varastaa kohdetietojärjestelmästä tiedostoja. Tiedostojen nimet täytyy olla valmiiksi tiedossa, jotta haavoittuvuutta voidaan hyväksikäyttää.

Toinen haavoittuvuus liittyy Firefoxin tapaan käsitellä tyylitiedostoja. Haavoittuvuutta hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa kohdetietojärjestelmässä omia komentojaan.

Kolmas haavoittuvuus liittyy Firefoxin tapaan käsitellä DHTML-elementtejä. Haavoittuvuutta hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa kohdetietojärjestelmässä omia komentojaan.

Neljäs haavoittuvuus liittyy Firefoxin tapaan käsitellä XBL-kontrolleja tulostuksen esikatselussa. Haavoittuvuutta hyväksikäyttämällä hyökkääjän voi olla mahdollista laajentaa käyttöoikeuksiaan kohdetietojärjestelmässä.

Viides haavoittuvuus liittyy Firefoxin tapaan käsitellä crypto.generateCRMFRequest -metodikutsuja. Haavoittuvuutta hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa kohdetietojärjestelmässä omia komentojaan.

Kuudes haavoittuvuus liittyy Firefoxin tapaan käsitellä javascript -metodikutsuja. Haavoittuvuutta hyväksikäyttämällä hyökkääjän voi olla mahdollista laajentaa käyttöoikeuksiaan käyttöjärjestelmässä tai suorittaa kohdetietojärjestelmässä omia komentojaan.

Seitsemäs haavoittuvuus liittyy Firefoxin tapaan käsitellä XUL -sisältöikkunoiden ja historia -mekanismin välisiä toimintoja. Haavoittuvuutta hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa kohdetietojärjestelmässä omia komentojaan.

VAROITUKSEN KOHDERYHMÄ:

  • Firefox -selainohjelmiston versio 1.5.0.1 ja sitä aikaisemmat versiot

  • Thunderbird -sähköpostiohjelman versio 1.5.0.1 ja sitä aikaisemmat versiot

  • SeaMonkey -internetohjelmiston versio 1.0 ja sitä aikaisemmat versio

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuvat ohjelmistot valmistajan ohjeiden mukaisesti:

http://www.mozilla.org/projects/seamonkey/releases/seamonkey1.0.1/

http://www.mozilla.com/firefox/

http://www.mozilla.com/thunderbird/

http://weblogs.mozillazine.org/rumblingedge/archives/2006/04/20060401_thunderbird_1502_builds.html

LISÄTIETOA:

http://www.mozilla.org/projects/security/known-vulnerabilities.html#firefox1.5.0.2

PÄIVITYSHISTORIA:

14.04.2006: Julkaistu
Sivua päivitetty 30.11.2006   Tulostusversio Tulostusversio