P11555
(百分比(南港棧))
超級版主
  
UID 5
精華
0
積分 1784
帖子 384
威望 8
P幣 861 $
經驗 531 點
閱讀權限 200
註冊 2000-1-1 來自 中華民國
狀態 離線
|
|
|
| 弱點通告:Mozilla Firefox、Thunderbird 存在多個弱點,請使用者儘速更新! | |
| | | | 2011/09/30 | | | | 風險等級: | 高度威脅 | | | | 摘 要: | Mozilla Firefox、Thunderbird 存在多個弱點,惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後,便可執行任意程式碼、提升權限、規避部份安全限制等讓使用者系統受駭之安全性弱點。 目前已知會受到影響的版本為Mozilla Firefox 5.x(含)之前版本, Mozilla Thunderbird 5.x(含)之前版本,中華電信SOC 建議使用者應儘速上網更新,以降低受駭風險。 | | | | | | | | | 影響系統 : | Mozilla Firefox 5.x(含)之前版本 Mozilla Thunderbird 5.x(含)之前版本 | | | | | | | | | | | 解決辦法: | 手動下載安裝: Mozilla Firefox 6.0(含)之後版本(含)之後版本 Mozilla Thunderbird 6.0(含)之後版本 | | | | | | | | | 細節描述: | Mozilla 近日對Firefox、Thunderbird 發布多項弱點,該弱點起因於 (1)一些未指定的錯誤可能造成記憶體毀損(corrupt memory) 。 (2)在處理JAR 文件的權限錯誤可以被利用來操縱已簽名的JAR 文件,並在另一個網站的內容中執行任意JavaScript 程式碼(注意:此漏洞不會影響Mozilla 的Thunderbird) 。 (3)WebGL 的錯誤經由 “haderSource” method 在傳遞一個過長字串時,可能導致堆積緩衝區溢位(heap-based buffer overflow) 。 (4)WebGL ANGLE library 內的著色前處理器(shader pre-processor) 的錯誤經由大量預先處理的方案時,可能導致堆積緩衝區溢位。 (5)當遍歷SVG 容器層次結構時,“SVGTextElement.getCharNumAtPosition()” 函數存在使用釋放後記憶體出錯(use-after-free) 的錯誤。 (6)在內容安全策略(Content Security Policy) 上的錯誤可能會導致代理授權憑據被洩露或主機解析不正確(注意:此漏洞不會影響Mozilla的Thunderbird)。 (7)在Windows D2D硬體加速的錯誤可以被利用來繞過同源策略,並從不同的domain 中讀取數據。
惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後,便可執行任意程式碼、洩露機敏性資訊、規避部份安全限制。中華電信SOC 在此建議使用者應儘速上網下載更新,並勿隨意瀏覽來源不明的網頁以及開啟郵件附加檔案,以降低受駭風險。 | | | | | | | | | 參考資訊: | Mozilla
Secunia |
|
|
|
|
