Mozilla Thunderbird/Seamonkey/Firefox 2.0.0.13版本修复多个安全漏洞

漏洞信息详情

Mozilla Thunderbird/Seamonkey/Firefox 2.0.0.13版本修复多个安全漏洞

• CNNVD编号：CNNVD-200709-163
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2007-4879
  
• 漏洞类型：
  
  
  信息泄露
  
• 发布时间：
  
  2007-09-13
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2007-09-17
  
• 厂        商：
  
  mozilla
• 漏洞来源：
  moz_bug_r_a4※ moz_…

Firefox/Thunderbird/Mozilla SeaMonkey是美国Mozilla基金会开发的一个免费、开源以及跨平台的网络套装软件。

Firefox中的多个安全漏洞允许恶意用户泄露敏感信息、绕过安全限制、执行欺骗攻击或入侵用户系统。由于代码共享，Thunderbird和SeaMonkey也受这些漏洞的影响。

1) XPCNativeWrappers调用中的安全漏洞可能允许通过setTimeout()调用以用户权限执行任意Javascript代码。

2) Javascript引擎中的各种错误可能导致内存破坏，允许用户执行任意代码。

3) 如果向URL发送请求的HTTP Referer：头的Basic Authentication凭据中用户名为空的话，就可以绕过跨站请求伪造防护。

4) 在创建到请求了SSL客户端认证的Web服务器的连接时，Firefox提供了之前配置的私有SSL证书，这可能导致泄露敏感信息。

5) jar：协议处理中的错误可能导致创建到本地机器上任意端口的连接。

6) 在显示XUL弹出窗口时的错误可能被利用隐藏窗口边界，这有助于钓鱼攻击。

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.mozilla.org/

RedHat已经为此发布了一个安全公告(RHSA-2008:0207-01)以及相应补丁:

RHSA-2008:0207-01：Critical: firefox security update

链接：

https://www.redhat.com/support/errata/RHSA-2008-0207.html

来源: US-CERT

名称: TA08-087A

链接:http://www.us-cert.gov/cas/techalerts/TA08-087A.html

来源: bugzilla.mozilla.org

链接:https://bugzilla.mozilla.org/show_bug.cgi?id=395399

来源: SECTRACK

名称: 1019704

链接:http://www.securitytracker.com/id?1019704

来源: www.mozilla.org

链接:http://www.mozilla.org/security/announce/2008/mfsa2008-17.html

来源: GENTOO

名称: GLSA-200805-18

链接:http://www.gentoo.org/security/en/glsa/glsa-200805-18.xml

来源: VUPEN

名称: ADV-2008-1793

链接:http://www.frsirt.com/english/advisories/2008/1793/references

来源: DEBIAN

名称: DSA-1532

链接:http://www.debian.org/security/2008/dsa-1532

来源: wiki.rpath.com

链接:http://wiki.rpath.com/wiki/Advisories:rPSA-2008-0128

来源: SUNALERT

名称: 238492

链接:http://sunsolve.sun.com/search/document.do?assetkey=1-26-238492-1

来源: SECUNIA

名称: 30620

链接:http://secunia.com/advisories/30620

来源: SECUNIA

名称: 29560

链接:http://secunia.com/advisories/29560

来源: MISC

链接:http://0x90.eu/ff_tls_poc.html

来源: UBUNTU

名称: USN-592-1

链接:http://www.ubuntu.com/usn/usn-592-1

来源: BID

名称: 28448

链接:http://www.securityfocus.com/bid/28448

来源: BUGTRAQ

名称: 20080327 rPSA-2008-0128-1 firefox

链接:http://www.securityfocus.com/archive/1/archive/1/490196/100/0/threaded

来源: MANDRIVA

名称: MDVSA-2008:080

链接:http://www.mandriva.com/security/advisories?name=MDVSA-2008:080

来源: VUPEN

名称: ADV-2008-0998

链接:http://www.frsirt.com/english/advisories/2008/0998/references

来源: DEBIAN

名称: DSA-1535

链接:http://www.debian.org/security/2008/dsa-1535

来源: DEBIAN

名称: DSA-1534

链接:http://www.debian.org/security/2008/dsa-1534

来源: SECUNIA

名称: 30327

链接:http://secunia.com/advisories/30327

来源: SECUNIA

名称: 29645

链接:http://secunia.com/advisories/29645

来源: SECUNIA

名称: 29616

链接:http://secunia.com/advisories/29616

来源: SECUNIA

名称: 29558

链接:http://secunia.com/advisories/29558

来源: SECUNIA

名称: 29547

链接:http://secunia.com/advisories/29547

来源: SECUNIA

名称: 29541

链接:http://secunia.com/advisories/29541

来源: SECUNIA

名称: 29539

链接:http://secunia.com/advisories/29539

来源: SECUNIA

名称: 29526

链接:http://secunia.com/advisories/29526

来源: SUSE

名称: SUSE-SA:2008:019

链接:http://lists.opensuse.org/opensuse-security-announce/2008-04/msg00002.html