Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

Vi söker en teknisk skribent, en it-säkerhetsspecialist och en övningskoordinator till CERT-SE, alla centrala roller i arbetet med att utveckla Sveriges förmåga att förebygga och hantera it-incidenter. Sista ansökningsdag är den 29 maj, 31 maj respektive den 5 juni.

Uppdaterad | Publicerad - Sårbarhet, e-postklient, Mozilla, Flash, Webbläsare

SR09-070 Mozilla - Sårbarheter i Firefox, Thunderbird och Seamonkey

Firefox 3.0.9 har släpps där ett antal sårbarheter är rättade. De allvarligaste skulle kunna leda till exekvering av godtycklig kod.

Problembeskrivning

CVE-referens: CVE-2009-1303 CVE-2009-1306 CVE-2009-1307 CVE-2009-1308 CVE-2009-1309 CVE-2009-1312 CVE-2009-1311 CVE-2009-1302 CVE-2009-1304 CVE-2009-1305 CVE-2009-1310

Firefox 3.0.9 har släpps där ett antal sårbarheter är rättade. De allvarligaste skulle kunna leda till exekvering av godtycklig kod.

Följande sårbarheter är rättade i den nya versionen av webbläsaren Firefox:

  • 2009-14: Krasch med spår i minnet, vilket kan tyda på att exekvering av godtycklig kod är möjligt.
  • 2009-15: URL:er innehållande vissa Unicode-tecken kan förvanska URL:en i adressfältet och därmed lura användaren.
  • 2009-16: Hanteringen av .jar-filer ignorerar "Content-Disposition: attachment".
  • 2009-17: Möjligt att ta sig förbi "same-origin policy" om Flash-applikationen laddas via "view-source: scheme".
  • 2009-18: XSS-attack möjlig genom att använda XBL och "stylesheets".
  • 2009-19: Möjligt att ta sig förbi "same-origin policy" då XMLHttpRequest och XPCNativeWrapper.toString används.
  • 2009-20: Ett sökinsticksprogram kan injicera kod för godtycklig webbplats.
  • 2009-21: Informationsläckage genom att en POST skickas till fel webbplats då en webbsida sparas.
  • 2009-22: XSS-attack möjlig genom att använda JavaScript i "Refresh header".

E-postklieten Thunderbird och webbläsaren Seamonkey innehåller också en del av sårbarheterna. Dessa båda applikationer är ännu inte uppdaterade. Mozilla rekommenderar att inte ha JavaScript påslaget i Thunderbird, vilket är inaktiverat som standard.

Följande versioner är rättade:

  • Mozilla Firefox 3.0.9. Finns tillgänglig för nerladdning.
  • Mozilla Thunderbird 2.0.0.22. Har ännu inte släppts.
  • Mozilla SeaMonkey 1.1.17. Har ännu inte släppts.

Följande personer tackas av Mozilla för att upptäckt sårbarheterna: Olli Pettay, Martijn Wargers, Mats Palmgren, Romaxa, Jesse Ruderman, Gary Kwong, Igor Bukanov, Bob Clary, Daniel Veditz, Gregory Fleischer, Cefn Hoile, moz_bug_r_a4, Prateek Saxena, Paolo Amadini och Michael.

Påverkade versioner

  • Firefox 3.0.8 eller tidigare
  • Thunderbird 2.0.0.21 eller tidigare
  • SeaMonkey 1.1.16 eller tidigare

Mer information och programrättningar

http://www.mozilla.org/security/announce/2009/mfsa2009-14.html
http://www.mozilla.org/security/announce/2009/mfsa2009-15.html
http://www.mozilla.org/security/announce/2009/mfsa2009-16.html
http://www.mozilla.org/security/announce/2009/mfsa2009-17.html
http://www.mozilla.org/security/announce/2009/mfsa2009-18.html
http://www.mozilla.org/security/announce/2009/mfsa2009-19.html
http://www.mozilla.org/security/announce/2009/mfsa2009-20.html
http://www.mozilla.org/security/announce/2009/mfsa2009-21.html
http://www.mozilla.org/security/announce/2009/mfsa2009-22.html
http://www.securityfocus.com/bid/34656