| | | 2010/09/29 | |
| | 風險等級: | 高度威脅 | |
| | 摘 要: | Mozilla Firefox 、Thunderbird 和SeaMonkey 被發現存在程式碼執行及安全性存取的弱點,惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後,便可執行任意程式碼、洩露機敏性資訊、規避部份安全限制等讓使用者系統受駭之安全性弱點。
目前已知會受到影響的版本為Mozilla Firefox 3.6.9之前版本、Mozilla Firefox 3.5.12之前版本、Mozilla Thunderbird 3.0.7之前版本、Mozilla Thunderbird 3.1.3之前版本、Mozilla SeaMonkey 2.0.7之前版本。中華電信SOC 建議使用者應儘速上網更新,以降低受駭風險。 | |
| | | | |
| | 影響系統 : | Mozilla Firefox 3.6.9之前版本 Mozilla Firefox 3.5.12之前版本 Mozilla Thunderbird 3.0.7之前版本 Mozilla Thunderbird 3.1.3之前版本 Mozilla SeaMonkey 2.0.7之前版本 | |
| |
| | | | |
| | 解決辦法: | 手動下載安裝: 更新至Mozilla Firefox 3.6.9、3.5.12 更新至Mozilla Thunderbird 3.0.7、3.1.3 更新至Mozilla SeaMonkey 2.0.7 | |
| | | | |
| | 細節描述: | Mozilla 近日針對Firefox 、Thunderbird 、SeaMonkey 等軟體發佈多項弱點修補程式,多數弱點起因於瀏覽器引擎處理惡意製作的資料及在URL 中處理特意製作的字型時導致記憶體錯誤(memory corruption) 、HTML frameset 有整數溢位(integer overflow) 的弱點、navigator.plugins 及nsTreeSelection 有懸置指標(dangling pointer) 的弱點、載入函式庫發生錯誤、轉換run 中的text 造成堆疊溢位(heap overflow) 、XUL 中tree 物件的弱點造成使用釋放後記憶體(use-after-free) 錯誤、SJOW 的包裝類別(wrapper class) 發生違反相同來源政策(same-origin policy) 、當使用者在document 物件designMode 屬性中進行複製貼上(copy-and-paste) 及拖曳(drag-and-drop) 會發生錯誤。
惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後,便可執行任意程式碼、洩露機敏性資訊、規避部份安全限制。中華電信SOC 在此建議使用者應儘速上網下載更新,並勿隨意瀏覽來源不明的網頁以及開啟郵件附加檔案,以降低受駭風險。 | |
| | | | |
| | 參考資訊: | Mozilla Foundation Security Advisories
VUPEN
Secunia |
