Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

Vi söker en teknisk skribent, en it-säkerhetsspecialist och en övningskoordinator till CERT-SE, alla centrala roller i arbetet med att utveckla Sveriges förmåga att förebygga och hantera it-incidenter. Sista ansökningsdag är den 29 maj, 31 maj respektive den 5 juni.

Uppdaterad | Publicerad - Sårbarhet, Webbläsare, Mozilla, e-postklient

SR09-106 Mozilla - Sårbarheter i Firefox, Thunderbird och Seamonkey

Firefox 3.0.11 har släpps där nio stycken sårbarheter är rättade. De allvarligaste skulle kunna leda till exekvering av godtycklig kod.

Problembeskrivning

CVE-referens: CVE-2009-1392 CVE-2009-1832 CVE-2009-1833 CVE-2009-1834 CVE-2009-1835 CVE-2009-1836 CVE-2009-1837 CVE-2009-1838 CVE-2009-1839 CVE-2009-1840 CVE-2009-1841

Firefox 3.0.11 har släpps där nio stycken sårbarheter är rättade. De allvarligaste skulle kunna leda till exekvering av godtycklig kod.

Följande sårbarheter är rättade i den nya versionen av webbläsaren Firefox:

  • 2009-32: Exekvering av chrome-objekt med förhöjda privilegier.
  • 2009-31: XUL-script kan gå förbi "content-policy"-kontrollen.
  • 2009-30: Fil som laddas genom en "file:"-URL kan få förhöjda privilegier.
  • 2009-29: Exekvering av godtycklig JavaScript-kod då en "event"-lyssnare pekar på ett null-objekt på grund av skräpsamlaren.
  • 2009-28: Exekvering av godtycklig kod orsakad av ett "race condition" då Java är aktiverat.
  • 2009-27: Möjlighet att manipulera HTTP-svar vars statuskod inte är OK (200) då SSL används. Sårbarheten kräver att klienten använder en proxy.
  • 2009-26: Lokal fil kan läsa godtycklig "cookie".
  • 2009-25: URL:er innehållande vissa Unicode-tecken kan förvanska URL:en i adressfältet och därmed lura användaren.
  • 2009-24: Firefox kan fås att krascha på ett flertal sätt med spår i minnet, vilket kan tyda på att exekvering av godtycklig kod är möjligt.

E-postklieten Thunderbird och webbläsaren Seamonkey innehåller också en del av sårbarheterna. Uppdateringen av dessa båda applikationer släpar efter, exempelvis finns säkerhetsrättningar från Firefox 3.0.9 som släpptes i slutet av april ännu inte med.

Följande versioner är rättade:

  • Mozilla Firefox 3.0.11. Finns tillgänglig för nerladdning.
  • Mozilla Thunderbird 2.0.0.22. Har ännu inte släppts.
  • Mozilla SeaMonkey 1.1.17. Har ännu inte släppts.

Mozilla tackar följande personer för att ha upptäckt sårbarheterna: Bob Clary, Jesse Ruderman, Alexander Sack, Bret McMillan, Tomeo Vizoso, Matt McCutchen, Martijn Wargers, Adam Hauner, Igor Bukanov, Pavel Cvrcek, Gregory Fleischer, Shuo Chen, Ziqing Mao, Yi-Min Wang (Microsoft), Ming Zhang (Microsoft), Jakob Balle (Secunia Research), Carsten Eiram (Secunia Research), moz_bug_r_a4, Adam Barth, Collin Jackson och Wladimir Palant.

Påverkade versioner

  • Mozilla Firefox 3.0.10 eller tidigare
  • Mozilla Thunderbird 2.0.0.21 eller tidigare
  • Mozilla SeaMonkey 1.1.16 eller tidigare

Mer information och programrättningar

http://www.mozilla.org/security/known-vulnerabilities/firefox30.html#firefox3.0.11
http://www.securityfocus.com/bid/35326
http://www.vupen.com/english/advisories/2009/1572
http://www.securitytracker.com/alerts/2009/Jun/1022376.html
http://www.securitytracker.com/alerts/2009/Jun/1022379.html
http://www.securitytracker.com/alerts/2009/Jun/1022380.html
http://www.securitytracker.com/alerts/2009/Jun/1022381.html
http://www.securitytracker.com/alerts/2009/Jun/1022382.html
http://www.securitytracker.com/alerts/2009/Jun/1022383.html
http://www.securitytracker.com/alerts/2009/Jun/1022384.html
http://www.securitytracker.com/alerts/2009/Jun/1022385.html