发布日期:2010-12-09
更新日期:2010-12-13受影响系统:
Mozilla Firefox 3.5.11- 3.6.10
Mozilla Thunderbird 3.0 - 3.1.5
Mozilla SeaMonkey 2.0.1 - 2.0.10
不受影响系统:
Mozilla Firefox 3.6.13
Mozilla Firefox 3.5.16
Mozilla Thunderbird 3.1.7
Mozilla Thunderbird 3.0.11
Mozilla SeaMonkey 2.0.11
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 45348,45348,45351
CVE ID: CVE-2010-3769,CVE-2010-3766,CVE-2010-3767,CVE-2010-3768,CVE-2010-3769,CVE-2010-3770,CVE-2010-3771,CVE-2010-3772,CVE-2010-3773,CVE-2010-3774,CVE-2010-3775,CVE-2010-3776,CVE-2010-3777,CVE-2010-3778Firefox是一款非常流行的开源WEB浏览器。Thunderbird是一个邮件客户端,支持IMAP、POP邮件协议以及HTML邮件格式。SeaMonkey是开源的Web浏览器、邮件和新闻组客户端、IRC会话客户端和HTML编辑器。Mozilla Firefox、Thunderbird和SeaMonkey中存在漏洞,攻击者可利用这些漏洞在受影响的应用程序中执行跨站脚本执行和欺骗攻击,绕过某些安全限制,控制用户系统。此漏洞源于
1)浏览器引擎中的多个错误,可导致内存破坏和执行任意代码;
2)处理换行时,传递给"document.write()"过长的字符串可导致从越界内存位置读取数据,执行任意代码。
3)使用"window.open()"打开新窗口时出错导致通过"<isindex>"元素以chrome权限执行任意JavaScript代码。
4)处理XUL树中的"<treechildren>"元素内嵌套的"<div>"元素时出错导致内存破坏,执行任意代码。
5)通过"data:" URL加载时,Java LiveConnect中出错,导致读取任意文件,启动任意进程,建立网络链接。
6)处理"nsDOMAttribute"节点时存在重用后释放错误,导致内存破坏和执行任意代码。
7)创建数组时存在整数溢出漏洞导致内存破坏和执行任意代码。
8)XMLHttpRequestSpy对象相关的错误,导致执行JavaScript代码。
9)处理无固有源关联的文档时出错,导致绕过同源策略,更改受信任站点的URL,欺骗用户访问打开的站点,出现about:config或about:neterror页面。
10)处理某些Mac字符集编码时,呈示引擎中出现错误,导致在目的网站上执行任意JavaScript代码;
<*来源:Dirk Heinrich
Jesee Ruderman
Andreas Gal (http://www.andreasgal.com/)
Nils
echo
wushi (wooshi@gmail.com)
Yosuke Hasegawa
链接:http://www.mozilla.org/security/announce/2010/mfsa2010-75.html
http://www.mozilla.org/security/announce/2010/mfsa2010-74.html
http://www.mozilla.org/security/announce/2010/mfsa2010-75.html
http://www.mozilla.org/security/announce/2010/mfsa2010-76.html
http://www.mozilla.org/security/announce/2010/mfsa2010-77.html
http://www.mozilla.org/security/announce/2010/mfsa2010-78.html
http://www.mozilla.org/security/announce/2010/mfsa2010-79.html
http://www.mozilla.org/security/announce/2010/mfsa2010-80.html
http://www.mozilla.org/security/announce/2010/mfsa2010-81.html
http://www.mozilla.org/security/announce/2010/mfsa2010-82.html
http://www.mozilla.org/security/announce/2010/mfsa2010-83.html
http://www.mozilla.org/security/announce/2010/mfsa2010-84.html
http://www.mozilla.org/security/announce/2010/mfsa2010-83.html
*>建议:
--------------------------------------------------------------------------------
厂商补丁:Mozilla
-------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.mozilla.org/PHP符号解析安全漏洞Google Chrome 8.0.552.224之前版本多个安全漏洞相关资讯 Mozilla
- Mozilla发布Servo浏览器每日构建版 (07月12日)
- Mozilla演示Servo的实验性渲染器 (02月26日)
- Mozilla 早期是如何打破垄断市场的 (12/02/2015 13:35:58)
| - Mozilla向开源项目捐赠38.5万美元 (06月23日)
- Mozilla 将于 11 月 30 日停止单一 (01月13日)
- Mozilla发布2014年度财报 (12/02/2015 10:32:10)
|
本文评论 查看全部评论 (0)
评论声明- 尊重网上道德,遵守中华人民共和国的各项有关法律法规
- 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
- 本站管理人员有权保留或删除其管辖留言中的任意内容
- 本站
|
易网时代-编程资源站