Хостинг
посетите другие наши проекты:
Звоните круглосуточно:
(812) 647-00-44
maxhost.ru  /  новости Курс 1 у.е. = 29 рублей

В продуктах Mozilla найдены множественные уязвимости

В продуктах Mozilla - Firefox, SeaMonkey и Thunderbird - найдены множественные уязвимости, сообщил Securitylab.

Критические уязвимости обнаружены в Mozilla Firefox версии до 1.5.0.9 и 2.0.0.1. Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение, получить доступ к важным данным, вызвать отказ в обслуживании и выполнить произвольный код на целевой системе:

  • Обнаружены различные ошибки в механизмах раскладки и JavaScript. Удаленный пользователь может с помощью специально сформированной Web страницы вызвать повреждение памяти и потенциально выполнить произвольный код на целевой системе.
  • Уязвимость существует из-за ошибки при уменьшении работы точности процессоров с плавающей точкой на Windows системе при загрузке плагина, создающего Direct3D устройство. Злоумышленник может заставить функцию "js_dtoa()" потребить все доступные ресурсы на системе и вызвать отказ в обслуживании.
  • Уязвимость существует из-за ошибки проверки границ данных во время установки курсора в Windows bitmap с использованием CSS свойства курсора. Удаленный пользователь может вызвать переполнение динамической памяти и выполнить произвольный код на целевой системе.
  • Обнаружена ошибка в JavaScript функции "watch()". Удаленный пользователь может выполнить произвольный код на целевой системе.
  • Уязвимость существует в LiveConnect, которая позволяет уже освобожденному объекту быть использованным еще раз. Удаленный пользователь может выполнить произвольный код на целевой системе.
  • Уязвимость существует из-за ошибки при обработке атрибута "src" в теге IMG, загруженном во фрейме. Удаленный пользователь может изменить атрибут на "javascript:" URI и выполнить произвольный javascript сценарий в браузере жертвы в контексте безопасности сайта.
  • Ошибка повреждения памяти обнаружена при обработке SVG. Удаленный пользователь может выполнить произвольный код путем присоединения SVG комментария DOM узла от одного документа к другому типу документа (например, HTML).
  • Свойство "Feed Preview" в Firefox 2.0 может позволить злоумышленнику получить доступ к потенциально важным данным при получении иконки агрегатора новостей.
  • Регрессия прототипа Function в Firefox 2.0 может позволить злоумышленнику выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

Для решения проблемы установите последнюю версию (1.5.0.9 или 2.0.0.1) с сайта производителя.

Критичекие уязвимости найдены в Mozilla SeaMonkey версии до 1.0.7. Они позволяют удаленному пользователю произвести XSS нападение, вызвать отказ в обслуживании и выполнить произвольный код на целевой системе:

  • Уязвимость существует из-за ошибки проверки границ данных при обработке заголовком email сообщений. Удаленный пользователь может с помощью слишком длинного заголовка "Content-Type" во внешнем теле письма вызвать переполнение динамической памяти и выполнить произвольный код на целевой системе.
  • Уязвимость существует из-за ошибки проверки границ данных при обработке rfc2047-кодированных заголовков. Удаленный пользователь может вызвать переполнение динамической памяти и выполнить произвольный код на целевой системе.

Для решения проблемы установите последнюю версию (1.0.7) с сайта производителя.

В Mozilla Thunderbird версии до 1.5.0.9 найдены критические уязвимости, которые позволяют удаленному пользователю произвести XSS нападение, вызвать отказ в обслуживании и выполнить произвольный код на целевой системе:

  • Уязвимость существует из-за ошибки проверки границ данных при обработке заголовком email сообщений. Удаленный пользователь может с помощью слишком длинного заголовка "Content-Type" во внешнем теле письма вызвать переполнение динамической памяти и выполнить произвольный код на целевой системе.
  • Уязвимость существует из-за ошибки проверки границ данных при обработке rfc2047-кодированных заголовков. Удаленный пользователь может вызвать переполнение динамической памяти и выполнить произвольный код на целевой системе.

Интересные материалы:

все новости