2012年8月1日 星期三

弱點通告:Mozilla Firefox 存在多種弱點,請使用者儘速更新!


弱點通告:Mozilla Firefox 存在多種弱點,請使用者儘速更新!

風險等級:高度威脅  

摘  要:
Mozilla Firefox 存在多種弱點,惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後,便可執行任意程式碼、提升權限、規避部份安全限制等讓使用者系統受駭之安全性弱點。
目前已知會受到影響的版本為Mozilla Firefox 13.x (含)之前版本,中華電信SOC 建議使用者應儘速上網更新,以降低受駭風險。
       
影響系統:
Mozilla Firefox 13.x (含)之前版本  
 
解決辦法:
手動下載安裝: Mozilla Firefox 14(含)之後版本
       
細節描述:
Mozilla 近日發佈Firefox 存在多種弱點,該弱點起因於
(1)nsTableFrame::InsertFrames() 函數所產生的bad cast 錯誤及瀏覽器某些未預期的錯誤可能造成記憶體毀損(corrupt memory)。
(2)處理拖放事件及歷史航行所產生的錯誤,可能在顯示前一個網站的URL 時,被利用來瀏覽任意的網站。
(3)nsSMILTimeValueSpec::IsEventBased() 函數、nsGlobalWindow::PageHidden() 函數(當處理核心事件時)、nsDocument::AdoptNode() 函數(當處理文件載入時)存在使用釋放後(use-after-free) 的記憶體錯誤。
(4)ElementAnimations::EnsureStyleRuleFor() 函數存在越界讀取的錯誤(out-of-bounds read error) ,可能造成堆積緩衝區溢位(heap based buffer overflow)。
(5)feed-view 功能及內容選單(context menu) 功能產生的錯誤,可能透過"data:" URL進行跨網站腳本攻擊(cross-site scripting attacks) 。 惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後,便可執行任意程式碼、洩露機敏性資訊、規避部份安全限制。中華電信SOC 在此建議使用者應儘速上網下載更新,並勿隨意瀏覽來源不明的網頁以及開啟郵件附加檔案,以降低受駭風險。  
       
參考資訊:Mozilla Secunia

沒有留言:

張貼留言