| | | 2014/03/31 | |
| | 風險等級: | 高度威脅 | |
| | 摘 要: | Mozilla 官方網站公布Mozilla Firefox/ Thunderbird/ Seamonkey 存在多項弱點,惡意人士可透過這些弱點在用戶系統執行任意程式碼、洩露機敏性資訊、規避部份安全限制。 目前已知會受到影響的版本為Mozilla Firefox 28 之前版本/ Mozilla Firefox ESR 24.4 之前版本/ Thunderbird 24.4 之前版本/ Seamonkey 2.X 之前版本,中華電信SOC 建議使用者應儘速上網更新,以降低受駭風險。 | |
| | | | |
| | 影響系統 : | Mozilla Firefox 28 之前版本 Mozilla Firefox ESR 24.4 之前版本 Mozilla Thunderbird 24.4 之前版本 Mozilla Seamonkey 2.25 之前版本 | |
| | | | |
| | 解決辦法: | 手動下載安裝: Mozilla Firefox 28 (含)之後版本 Mozilla Firefox ESR 24.4 (含)之後版本 Mozilla Thunderbird 24.4 (含)之後版本 Mozilla Seamonkey 2.25 (含)之後版本 | |
| | | | |
| | 細節描述: | Mozilla 官方公布Firefox/ Thunderbird/ Seamonkey 存在多項弱點,弱點如下: (1)某些錯誤可觸發記憶體毀損錯誤(memory corruption error)。 (2)解碼 WAV 音訊檔、MathML 執行多邊形運算的錯誤,會產生越界(out-of-bounds) 讀取記憶體存取錯誤。 (3)與WebRTC 連線有關的許可權提示錯誤,可以利用網路攝像機或麥克風增益選項進行欺騙的提示。 (4)處理某些 WebGL 內容時的錯誤可被假冒另一網站的WebGL 內容。 (5)篩選器和位移處理 SVG 格式圖像時產生計時錯誤,可能允許跨網域存取被揭露文字內容。 (6)WebIDL-implemented APIs 錯誤可被利用加載,否則無法進入權限頁面。 (7)TypeObjects 處理記憶體垃圾收集時,產生使用釋放後記憶體(use-after-free) 的錯誤,將觸發記憶體毀損錯誤。 (8)TypedArrayObject 在處理ArrayBuffer 物件時,會導致超出邊界讀取的記憶體存取。
惡意人士透過以上弱點,便可規避部份安全限制取得特權訪問受影響的系統,可能導致使用者敏感資料外洩、損害受害者電腦系統。中華電信SOC 建議使用者應儘速上網更新,以降低受駭風險。 | |
| | | | |
| | 參考資訊: | Firefox
Thunderbird
Seamonkey
Secunia |
