Mozilla ThunderbirdSeamonkeyFirefox 2.0.0.13版本修复多个安全漏洞-安全在线

Mozilla ThunderbirdSeamonkeyFirefox 2.0.0.13版本修复多个安全漏洞

作者：佚名来源：不详点击数：更新时间：2008年03月31日

发布日期：2008-03-26
更新日期：2008-03-27

受影响系统：

Mozilla Firefox <= 2.0.0.12
Mozilla Thunderbird <= 2.0.0.12
Mozilla SeaMonkey <= 1.1.8

不受影响系统：

Mozilla Firefox 2.0.0.13
Mozilla Thunderbird 2.0.0.13
Mozilla SeaMonkey 1.1.9

描述：

BUGTRAQ  ID: 28448
CVE(CAN) ID: CVE-2008-1241,CVE-2008-1240,CVE-2007-4879,CVE-2008-1238,CVE-2008-1236,CVE-2008-1237,CVE-2008-1233,CVE-2008-1234,CVE-2008-1235

Firefox/Thunderbird/SeaMonkey是Mozilla所发布的WEB浏览器和邮件/新闻组客户端。

Firefox中的多个安全漏洞允许恶意用户泄露敏感信息、绕过安全限制、执行欺骗攻击或入侵用户系统。由于代码共享，Thunderbird和SeaMonkey也受这些漏洞的影响。

1) XPCNativeWrappers调用中的安全漏洞可能允许通过setTimeout()调用以用户权限执行任意javascript代码。

2) javascript引擎中的各种错误可能导致内存破坏，允许用户执行任意代码。

3) 如果向URL发送请求的HTTP Referer:头的Basic Authentication凭据中用户名为空的话，就可以绕过跨站请求伪造防护。

4) 在创建到请求了SSL客户端认证的Web服务器的连接时，Firefox提供了之前配置的私有SSL证书，这可能导致泄露敏感信息。

5) jar:协议处理中的错误可能导致创建到本地机器上任意端口的连接。

6) 在显示XUL弹出窗口时的错误可能被利用隐藏窗口边界，这有助于钓鱼攻击。

<*来源：moz_bug_r_a4 （moz_bug_r_a4@yahoo.com）
        Chris Thomas
        Tom Ferris （tommy@security-protocols.com）
        Alexander Klink （a.klink@cynops.de）
        georgi

  链接：http://secunia.com/advisories/29526/
        http://secunia.com/advisories/29548/
        http://secunia.com/advisories/29547/
        http://www.mozilla.org/security/announce/2008/mfsa2008-19.html
        http://www.mozilla.org/security/announce/2008/mfsa2008-18.html
        http://www.mozilla.org/security/announce/2008/mfsa2008-17.html
        http://www.mozilla.org/security/announce/2008/mfsa2008-16.html
        http://www.mozilla.org/security/announce/2008/mfsa2008-14.html
        http://www.mozilla.org/security/announce/2008/mfsa2008-15.html
        https://www.redhat.com/support/errata/RHSA-2008-0207.html
*>

测试方法：

警告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://pseudo-flaw.net/r/referer-spoofing-with-at/

https://bugzilla.mozilla.org/attachment.cgi?id=291347
https://bugzilla.mozilla.org/attachment.cgi?id=291348

建议：

厂商补丁：

Mozilla
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.mozilla.org/

RedHat
------
RedHat已经为此发布了一个安全公告（RHSA-2008:0207-01）以及相应补丁:
RHSA-2008:0207-01：Critical: firefox security update
链接：https://www.redhat.com/support/errata/RHSA-2008-0207.html

更多技术文章和教程,请您进入安全在线论坛查看.BBS.AQZX.ORG

上一篇：Orb Networks Orb RPC请求远程整数溢出漏洞

下一篇：Cisco IOS多播虚拟专用网MDT Data Join消息处理数据泄露漏洞

日历搜索

推荐栏目

Google Toolbar对话栏欺骗漏洞

微软发布12月份安全公告修复多个

MySQL服务器RENAME TABLE系统表格

5.17诺顿(Backdoor.Haxdoor)的误

Windows 2003 IIS6 .ASP目录执行

动易2006最新漏洞公告

PDF文件格式现漏洞用户电脑可被

WordPress wp-trackback.php漏洞

phpArticle2.06两个本地包含文件

phpcms 3.0.0文件上传漏洞

FreeBSD UFS文件系统本地整数溢出

热门栏目

动易2006最新漏洞公告

phpcms 3.0.0文件上传漏洞

Windows 2003 IIS6 .ASP目录执行

重庆电信开展IP地址反向解析阻止

PHP Easy Download file_infoadm

Windows Media Player ASX播放列

视频黑客盗取女子裸照敲诈勒索获

黑客远程登录盗取女子裸照进行敲

东昌中学一高考生遭遇电话黑客恶

网友评论：（只显示最新10条。评论内容只代表网友观点，与本站立场无关！）



请遵守《互联网电子公告服务管理规定》及中华人民共和国其他各项有关法律法规。严禁发表危害国家安全、损害国家利益、破坏民族团结、破坏国家宗教政策、破坏社会稳定、侮辱、诽谤、教唆、淫秽等内容的评论。用户需对自己在使用本站服务过程中的行为承担法律责任（直接或间接导致的）。本站管理员有权保留或删除评论内容。评论内容只代表网友个人观点，与本网站立场无关。

添添的断弦忧若阁	莱芜信息港	租售信息网	猎城信息网	企业信息网	前端技术论坛	学生黑客联盟
安全在线论坛	网站建设	新虎网络	竹馥堂主	WEB前端开发	您的位置	您的位置