 |
Mozilla Firefox/SeaMonkey/Thunderbird多个远程安全漏洞 |
|
|
| Mozilla Firefox/SeaMonkey/Thunderbird多个远程安全漏洞 |
|
| 作者:佚名 文章来源:不详 点击数: 更新时间:2007-1-26 15:12:32 |
|
2006-11-9 22:42:56
发布日期:2006-11-07
更新日期:2006-11-09
受影响系统:
Mozilla Firefox <= 1.5.0.7
Mozilla Thunderbird <= 1.5.0.7
Mozilla SeaMonkey <= 1.0.5 不受影响系统:
Mozilla Firefox 1.5.0.8
Mozilla Thunderbird 1.5.0.8
Mozilla SeaMonkey 1.0.6 描述:
BUGTRAQ ID: 20957
CVE(CAN) ID: CVE-2006-5462,CVE-2006-5463,CVE-2006-5464,CVE-2006-5747,CVE-2006-5748
Mozilla Firefox/SeaMonkey/Thunderbird都是Mozilla发布的WEB浏览器和邮件新闻组客户端产品。
上述产品中存在多个安全漏洞,具体如下:
1) Mozilla产品中所捆绑的网络安全服务(NSS)库如果以指数3使用RSA密钥的话,就无法正确的处理签名中的额外数据,允许攻击者伪造SSL/TLS和邮件证书。这个漏洞是MFSA 2006-60中所报告RSA签名漏洞的变种。
2) 攻击者可以在执行期间修改Script对象,导致执行任意JavaScript bytecode。
3) Mozilla产品的布局引擎中的漏洞及JavaScript引擎中的内存破坏漏洞可能导致拒绝服务,或执行任意代码。
4) XML.prototype.hasOwnProperty中的安全漏洞可能导致执行任意代码。
<*来源:shutdown (shutdown@flashmail.com)
Jesse Ruderman (jruderman@gmail.com)
Martijn Wargers
Igor Bukanov
链接:http://www.mozilla.org/security/announce/2006/mfsa2006-65.html
http://www.mozilla.org/security/announce/2006/mfsa2006-66.html
http://www.mozilla.org/security/announce/2006/mfsa2006-67.html
http://secunia.com/advisories/22722/
http://www.us-cert.gov/cas/techalerts/TA06-312A.html
http://lwn.net/Alerts/208342/?format=printable
http://lwn.net/Alerts/208343
http://lwn.net/Alerts/208345
*>
建议:
厂商补丁:
Mozilla
-------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.mozilla.org/
RedHat
------
RedHat已经为此发布了安全公告(RHSA-2006:0733-01、RHSA-2006:0734-01、RHSA-2006:0735-01)以及相应补丁:
RHSA-2006:0733-01:Critical: firefox security update
链接:http://lwn.net/Alerts/208342/?format=printable
RHSA-2006:0734-01:Critical: seamonkey security update
链接:http://lwn.net/Alerts/208343
RHSA-2006:0735-01:Critical: thunderbird security update
链接:http://lwn.net/Alerts/208345
补丁下载:
|
|
| 新闻录入:admin 责任编辑:admin |
|
|
上一篇新闻: GNU GV浏览器ps_gettext()函数栈溢出漏洞
下一篇新闻: WarFTPd多个命令处理远程拒绝服务漏洞 |
|
|
| 【字体:小 大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 |
|
|
 网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!) |
|
|
|
|
|
