Mozilla Firefox 2.0.0.7多个远程安全漏洞

2007-10-23T00:00:00
ID SSV:2325
Type seebug
Reporter Root
Modified 2007-10-23T00:00:00

Description

BUGTRAQ ID: 26132 CVE(CAN) ID: CVE-2007-5338,CVE-2007-5337,CVE-2007-5334,CVE-2007-5340,CVE-2007-5339

Mozilla Firefox是开放源码的WEB浏览器。

Firefox处理某些畸形Web内容的方式存在几个漏洞,包含有恶意内容的网页可能导致Firefox崩溃或以运行Firefox用户的权限执行任意代码。

使用XUL标记语言所编写的网页可能会隐藏窗口的标题栏,攻击者可以利用这个特性创建诱骗网页执行钓鱼攻击。

在支持gnome-vfs的Linux机器上,Firefox可以使用smb:和sftp: URI主题。如果攻击者能够将攻击网页储存在目标服务器上的手动可访问位置(如/tmp)并诱骗受害用户加载该网页,就可以读取该服务器上已知位置的任意属于受害用户的文件。

攻击者可以使用Script对象修改XPCNativeWrappers,导致之后浏览器chrome的访问(如右击打开上下文菜单)允许以用户权限执行攻击者所提供的javascript。

Mozilla Firefox < 2.0.0.8 Mozilla Thunderbird < 2.0.0.8 Mozilla SeaMonkey < 1.1.5 Mozilla


目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

<a href="http://www.mozilla.com/en-US/firefox/" target="_blank">http://www.mozilla.com/en-US/firefox/</a> <a href="http://www.mozilla.org/projects/seamonkey/" target="_blank">http://www.mozilla.org/projects/seamonkey/</a> <a href="http://www.mozilla.com/en-US/thunderbird/" target="_blank">http://www.mozilla.com/en-US/thunderbird/</a>

RedHat

RedHat已经为此发布了一个安全公告(RHSA-2007:0980-01)以及相应补丁: RHSA-2007:0980-01:Critical: seamonkey security update 链接:<a href="https://www.redhat.com/support/errata/RHSA-2007-0980.html" target="_blank">https://www.redhat.com/support/errata/RHSA-2007-0980.html</a>