本Blog主要以紀錄小編工作上所遇到的點點滴滴,所收錄之文章來至各大媒體及Blog,幾乎皆非原創文章,僅提供小編本人進行記錄方便資料查找,並會註明出觸及連結,如有任何疑義請來信告知,謝謝!
2012年8月1日 星期三
弱點通告:Mozilla Firefox 存在多種弱點,請使用者儘速更新!
弱點通告:Mozilla Firefox 存在多種弱點,請使用者儘速更新!
風險等級:高度威脅
摘 要:
Mozilla Firefox 存在多種弱點,惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後,便可執行任意程式碼、提升權限、規避部份安全限制等讓使用者系統受駭之安全性弱點。
目前已知會受到影響的版本為Mozilla Firefox 13.x (含)之前版本,中華電信SOC 建議使用者應儘速上網更新,以降低受駭風險。
影響系統:
Mozilla Firefox 13.x (含)之前版本
解決辦法:
手動下載安裝: Mozilla Firefox 14(含)之後版本
細節描述:
Mozilla 近日發佈Firefox 存在多種弱點,該弱點起因於
(1)nsTableFrame::InsertFrames() 函數所產生的bad cast 錯誤及瀏覽器某些未預期的錯誤可能造成記憶體毀損(corrupt memory)。
(2)處理拖放事件及歷史航行所產生的錯誤,可能在顯示前一個網站的URL 時,被利用來瀏覽任意的網站。
(3)nsSMILTimeValueSpec::IsEventBased() 函數、nsGlobalWindow::PageHidden() 函數(當處理核心事件時)、nsDocument::AdoptNode() 函數(當處理文件載入時)存在使用釋放後(use-after-free) 的記憶體錯誤。
(4)ElementAnimations::EnsureStyleRuleFor() 函數存在越界讀取的錯誤(out-of-bounds read error) ,可能造成堆積緩衝區溢位(heap based buffer overflow)。
(5)feed-view 功能及內容選單(context menu) 功能產生的錯誤,可能透過"data:" URL進行跨網站腳本攻擊(cross-site scripting attacks) 。 惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後,便可執行任意程式碼、洩露機敏性資訊、規避部份安全限制。中華電信SOC 在此建議使用者應儘速上網下載更新,並勿隨意瀏覽來源不明的網頁以及開啟郵件附加檔案,以降低受駭風險。
參考資訊:Mozilla Secunia
訂閱:
張貼留言 (Atom)
沒有留言:
張貼留言