| | | 2009/11/04 | |
| | 風險等級: | 高度威脅 | |
| | 摘 要: | Mozilla Firefox 被證實含有多項弱點,這些弱點可能造成受駭系統的影響包括了揭露機敏資訊、規避部份安全限制、導致跨網站指令碼攻擊、以及遠端執行任意程式碼等。 惡意人士可利用這些弱點製作惡意的網頁、GIF 檔案或可執行檔,並引誘使用者去點擊開啟該檔案來造成系統記憶體發生損毀,以獲取相關敏感資料,甚至控制未修補此弱點的系統。 已知會受影響的版本為3.0.14、3.5.3 以及更早之前的版本。中華電信SOC 在此建議使用者應儘速上網升級,以降低受駭風險。 | |
| | | | |
| | 影響系統 : | - Mozilla Firefox 3.0.14(含)與Mozilla Firefox 3.5.3(含)之前版本
| |
| |
| | | | |
| | 解決辦法: | 1. 請點選Firefox 工具列的「說明」,選擇「檢查更新」,將Firefox 更新至Firefox 3.0.15 、Firefox 3.5.4或更新的版本。 2. 請先將系統內Firefox 3.0.14、Firefox 3.5.3或更早之前的版本移除,再更新至Firefox 3.0.15或Firefox 3.5.4。 | |
| | | | |
| | 細節描述: | Mozilla 近日針對Mozilla Firefox 發佈多項弱點修補程式,多數弱點起因於分配浮點數空間時的陣列索引錯誤、檢視歷史功能遭濫用、JavaScript 遞迴執行上的異常、處理Proxy Auto-configuration (PAC) 的正規表示式時異常、處理GIF color map 時造成記憶體異常、執行到含有XPCOM 的"XPCVariant::VariantDataToJS()" 欄位異常的惡意JavaScript 、JavaScript 的函數document.getSelection() 的架構錯誤、下載檔案時會顯示不同的檔名、liboggz 與libvorbis 函式庫錯誤、瀏覽器的引擎異常等錯誤。 惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁或開啟特定程式後,便可提昇權限、執行任意程式碼、躲避安全性驗證、洩露機敏性資訊、DoS 攻擊等,更甚者可以取得受駭電腦的系統控制權。 中華電信SOC 在此建議使用者應儘速上網下載更新,並勿隨意瀏覽來源不明的網頁以及開啟郵件附加檔案,以降低受駭風險。 | |
| | | | |
| | 參考資訊: | Secunia
VUPEN
iDefense Labs
Mozilla Security Advisory 2009-52
Mozilla Security Advisory 2009-64 |
