Mozilla Firefox getRawDER 双重释放漏洞

漏洞信息详情

Mozilla Firefox getRawDER 双重释放漏洞

• CNNVD编号：CNNVD-200606-076
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2006-2788
  
• 漏洞类型：
  
  
  缓冲区溢出
  
• 发布时间：
  
  2006-06-02
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2006-06-05
  
• 厂        商：
  
  mozilla
• 漏洞来源：
  moz_bug_r_a4 moz_b…

Mozilla Firefox 是Mozilla发布的WEB浏览器和邮件新闻组客户端产品。

Firefox nsIX509Cert的getRawDER 功能存在双重释放漏洞，允许远程攻击者通过特定的Javascript代码造成拒绝服务攻击(挂起)和可能执行任意代码。

临时解决方法：

* 在”连接设置”中选择”直接连接至因特网(默认)”或”手动配置代理”；

* 禁用JavaScript；

* 不要点击Firefox插件查找器的”手动安装”按键；

* 在不可信任的站点不要从破损图形的上下文菜单选择”浏览图形”；

* 在”查看”菜单中清除选择”查看直接插入的附件”，并不要打开任何VCard附件(.vcf扩展名)；

* 从Web输入剥离BOM，或指定UTF-8以外的字符编码。

厂商补丁：

Mozilla

——-

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.mozilla.org/” target=”_blank”>

http://www.mozilla.org/

Gentoo

——

Gentoo已经为此发布了一个安全公告(GLSA-200606-12)以及相应补丁:

GLSA-200606-12：Mozilla Firefox: Multiple vulnerabilities

链接：
http://security.gentoo.org/glsa/glsa-200606-12.xml” target=”_blank”>

http://security.gentoo.org/glsa/glsa-200606-12.xml

所有Mozilla Firefox用户都应升级到最新版本:

# emerge –sync

# emerge –ask –oneshot –verbose “>=www-client/mozilla-firefox-1.5.0.4”

所有Mozilla Firefox二进制程序用户都应升级到最新版本:

# emerge –sync

# emerge –ask –oneshot –verbose “>=www-client/mozilla-firefox-bin-1.5.0.4″临时解决方法：

* 在”连接设置”中选择”直接连接至因特网(默认)”或”手动配置代理”；

* 禁用JavaScript；

* 不要点击Firefox插件查找器的”手动安装”按键；

* 在不可信任的站点不要从破损图形的上下文菜单选择”浏览图形”；

* 在”查看”菜单中清除选择”查看直接插入的附件”，并不要打开任何VCard附件(.vcf扩展名)；

* 从Web输入剥离BOM，或指定UTF-8以外的字符编码。

厂商补丁：

Mozilla

——-

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.mozilla.org/” target=”_blank”>

http://www.mozilla.org/

Gentoo

——

Gentoo已经为此发布了一个安全公告(GLSA-200606-12)以及相应补丁:

GLSA-200606-12：Mozilla Firefox: Multiple vulnerabilities

链接：
http://security.gentoo.org/glsa/glsa-200606-12.xml” target=”_blank”>

http://security.gentoo.org/glsa/glsa-200606-12.xml

所有Mozilla Firefox用户都应升级到最新版本:

# emerge –sync

# emerge –ask –oneshot –verbose “>=www-client/mozilla-firefox-1.5.0.4”

所有Mozilla Firefox二进制程序用户都应升级到最新版本:

# emerge –sync

# emerge –ask –oneshot –verbose “>=www-client/mozilla-firefox-bin-1.5.0.4”

来源: bugzilla.mozilla.org

链接:https://bugzilla.mozilla.org/show_bug.cgi?id=321598

来源: DEBIAN

名称: DSA-1191

链接:http://www.us.debian.org/security/2006/dsa-1191

来源: UBUNTU

名称: USN-296-1

链接:http://www.ubuntulinux.org/support/documentation/usn/usn-296-1

来源: UBUNTU

名称: USN-361-1

链接:http://www.ubuntu.com/usn/usn-361-1

来源: REDHAT

名称: RHSA-2006:0611

链接:http://www.redhat.com/support/errata/RHSA-2006-0611.html

来源: REDHAT

名称: RHSA-2006:0610

链接:http://www.redhat.com/support/errata/RHSA-2006-0610.html

来源: REDHAT

名称: RHSA-2006:0594

链接:http://www.redhat.com/support/errata/RHSA-2006-0594.html

来源: REDHAT

名称: RHSA-2006:0578

链接:http://www.redhat.com/support/errata/RHSA-2006-0578.html

来源: MANDRIVA

名称: MDKSA-2006:145

链接:http://www.mandriva.com/security/advisories?name=MDKSA-2006:145

来源: MANDRIVA

名称: MDKSA-2006:143

链接:http://www.mandriva.com/security/advisories?name=MDKSA-2006:143

来源: DEBIAN

名称: DSA-1210

链接:http://www.debian.org/security/2006/dsa-1210

来源: DEBIAN

名称: DSA-1192

链接:http://www.debian.org/security/2006/dsa-1192

来源: SECUNIA

名称: 22849

链接:http://secunia.com/advisories/22849

来源: SECUNIA

名称: 22342

链接:http://secunia.com/advisories/22342

来源: SECUNIA

名称: 22299

链接:http://secunia.com/advisories/22299

来源: SECUNIA

名称: 22247

链接:http://secunia.com/advisories/22247

来源: SECUNIA

名称: 21631

链接:http://secunia.com/advisories/21631

来源: SECUNIA

名称: 21532

链接:http://secunia.com/advisories/21532

来源: SECUNIA

名称: 21336

链接:http://secunia.com/advisories/21336

来源: SECUNIA

名称: 21270

链接:http://secunia.com/advisories/21270

来源: SECUNIA

名称: 21269

链接:http://secunia.com/advisories/21269

来源: REDHAT

名称: RHSA-2006:0609

链接:http://rhn.redhat.com/errata/RHSA-2006-0609.html

来源: MANDRIVA

名称: MDKSA-2006:145

链接:http://frontal2.mandriva.com/security/advisories?name=MDKSA-2006:145

来源: MANDRIVA

名称: MDKSA-2006:143

链接:http://frontal2.mandriva.com/security/advisories?name=MDKSA-2006:143