Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

Vi söker en teknisk skribent, en it-säkerhetsspecialist och en övningskoordinator till CERT-SE, alla centrala roller i arbetet med att utveckla Sveriges förmåga att förebygga och hantera it-incidenter. Sista ansökningsdag är den 29 maj, 31 maj respektive den 5 juni.

Uppdaterad | Publicerad - Sårbarhet, Webbläsare, Mozilla, e-postklient

SR09-038 Mozilla - Sårbarheter i Firefox, Thunderbird och Seamonkey

Firefox 3.0.7 har släpps där ett antal sårbarheter är rättade. De allvarligaste kan leda till exekvering av godtycklig kod.

Problembeskrivning

CVE-referens: CVE-2009-0771 CVE-2009-0772 CVE-2009-0773 CVE-2009-0774 CVE-2009-0775 CVE-2009-0776 CVE-2009-0777

Firefox 3.0.7 har släpps där ett antal sårbarheter är rättade. De allvarligaste kan leda till exekvering av godtycklig kod.

Följande sårbarheter är rättade i den nya versionen av webbläsaren Firefox:

  • En rad sårbarheter i layout- och JavaScript-motorn vilka skulle kunna leda till exekvering av godtycklig kod.
  • Klonade XUL DOM-element hanteras inte korrekt av skräpsamlaren vilket kan leda till exekvering av godtycklig kod.
  • En sårbarhet i "nsIRDFService" gör det möjligt att ta sig förbi "same-origin policy". En angripare kan utnyttja säkerhetsbristen för att läsa XML från andra domäner.
  • URL:er innehållande vissa kontrolltecken kan förvanska URL:en i adressfältet och därmed lura användaren.
  • Klassbiblioteket "libpng" innehåller ett antal sårbarheter i minneshanteringen vilka kan leda till exekvering av godtycklig kod.

Alla sårbarheter utom en kan triggas genom att användaren besöker en riggad webbsida.

Säkerhethålen är åtgärdade i Firefox 3.0.7. E-postklieten Thunderbird och webbläsaren Seamonkey innehåller också en del av sårbarheterna. Dessa båda applikationer är ännu inte uppdaterade.

Följande personer och företag tackas av Mozilla för att ha hittat sårbarheterna: Martijn Wargers, Jesse Ruderman, Josh Soref, Gary Kwong, Timothee Groleau, TippingPoint, Georgi Guninski och Masahiro Yamada.

Påverkade versioner

  • Firefox 3.0.6 eller tidigare

Mer information och programrättningar

http://www.mozilla.org/security/announce/2009/mfsa2009-07.html
http://www.mozilla.org/security/announce/2009/mfsa2009-08.html
http://www.mozilla.org/security/announce/2009/mfsa2009-09.html
http://www.mozilla.org/security/announce/2009/mfsa2009-10.html
http://www.mozilla.org/security/announce/2009/mfsa2009-11.html
http://www.securityfocus.com/bid/33990
http://www.securitytracker.com/alerts/2009/Mar/1021795.html
http://www.securitytracker.com/alerts/2009/Mar/1021796.html
http://www.securitytracker.com/alerts/2009/Mar/1021797.html
http://www.securitytracker.com/alerts/2009/Mar/1021799.html
http://secunia.com/advisories/34145/