SR10-133 Mozilla - Flertalet sårbarheter i Firefox, Thunderbird och SeaMonkey

Ny version av Firefox täpper till 14 stycken säkerhetshål.

Problembeskrivning

CVE-referens: CVE-2010-1211 CVE-2010-1212 CVE-2010-1208 CVE-2010-1209 CVE-2010-1215 CVE-2010-1214 CVE-2010-2752 CVE-2010-2753 CVE-2010-1213 CVE-2010-1207 CVE-2010-1210 CVE-2010-2751 CVE-2010-0654 CVE-2010-2754

Webbläsaren Firefox, e-postklienten Thunderbird och allt-i-ett-klienten SeaMonkey har släpps i nya versioner som rättar till ett antal säkerhetsbrister. En del av sårbarheterna är allvarliga och kan leda till exekvering av godtycklig kod då användaren besöker en riggad webbsida. Andra sårbarheter är mindre allvarliga, exempelvis informationsläckage av URL:er mellan domäner. För en komplett beskrivning av sårbarheterna se Mozillas bulletin.

I följande versioner är säkerhetsbristerna åtgärdade:

• Mozilla Firefox 3.6.7 (även 3.5.11)
• Mozilla Thunderbird 3.1.1 (även 3.0.6)
• Mozilla SeaMonkey 2.0.6

De rättade versionerna finns tillgängliga via den automatiska uppdateringstjänsten samt på Mozillas webbplats.

Mozilla tackar följande personer för att ha upptäckt sårbarheterna: Jesse Ruderman, Ehsan Akhgari, Mats Palmgren, Igor Bukanov, Gary Kwong, Tobias Markus, Daniel Holbert, David Anderson, Johnny Stenback, regenrecht, J23, moz_bug_r_a4, Aki Helin, Yosuke Hasegawa, Vladimir Vukicevic, O. Andersen, Chris Evans och Soroush Dal.

Påverkade versioner

• Mozilla Firefox 3.6.4 eller tidigare, samt 3.5.10 eller tidigare
• Mozilla Thunderbird 3.1, samt 3.0.5 eller tidigare
• Mozilla SeaMonkey 2.0.5 eller tidigare

Mer information och programrättningar

http://www.mozilla.org/security/known-vulnerabilities/firefox36.html#firefox3.6.7
http://www.securityfocus.com/bid/41824
http://www.zerodayinitiative.com/advisories/ZDI-10-130/
http://www.zerodayinitiative.com/advisories/ZDI-10-131/
http://www.zerodayinitiative.com/advisories/ZDI-10-132/
http://www.zerodayinitiative.com/advisories/ZDI-10-133/
http://www.zerodayinitiative.com/advisories/ZDI-10-134/