SR05-031 Mozilla Foundation - sårbarheter i flertalet produkter

Publicerad: 050329

Problembeskrivning:

CVE-referens: CAN-2005-0399
1. Mark Dowd från ISS X-Force har upptäckt en sårbarhet i ett bibliotek från Mozilla Foundation för hantering av GIF-bilder. Biblioteket som används i Mozilla Firefox och Mozilla Suite samt Mozilla Thunderbird kan genom en specialkonstruerad GIF-fil utsättas för en heap-baserad buffertöverflödesattack som kan leda till exekvering av godtycklig kod.

CVE-referens: CAN-2005-0401
2. Michael Krax har upptäckt ett sätt att kringgå säkerhetsrestriktionerna för öppnandet av XUL-filer. Genom att lura en besökare till en specialkonstruerad webbsida där denne sedan utför en "drag and drop"-operation kan en angripare utnyttja sårbarheten för att med förhöjda rättigheter exekvera skript i XUL-filer.

CVE-referens: CAN-2005-0402
3. Kohei Yoshino har upptäckt en sårbarhet i Mozilla Firefoxs hantering av bokmärken och "sidebar"-paneler. Om en specialkonstruerad sida bokmärks som en "sidebar"-panel kan det utnyttjas för att exekvera godtyckliga program. En angriparen kan genom den specialkonstruerade sidan injicera javaskript i en privilegierad sida.

Påverkade versioner:
Mozilla Firefox - tidigare än 1.0.2
Mozilla Suite - tidigare än 1.7.6
Mozilla Thunderbird - tidigare än 1.0.2

Uppdatering:
http://www.mozilla.org

Mer information:
http://www.mozilla.org/security/announce/mfsa2005-30.html
http://www.mozilla.org/security/announce/mfsa2005-31.html
http://www.mozilla.org/security/announce/mfsa2005-32.html
http://xforce.iss.net/xforce/alerts/id/191

Versionshistorik:
050329: Särskilt råd skapat.