Securitate IT

Prima Pagina

Stiri Securitate PC

Vulnerabilitati in Mozilla Firefox

Mozilla Firefox a pasit cu stangul in 2007, specialistii Gecad descoperind o serie de vulnerabilitati ce pot fi exploatate de atacatori pentru a obtine informatii confidentiale, de a lansa atacuri de tip Cross-Site Scripting (XSS) si posibil de a compromite un sistem afectat.

Sunt afectate Versiunile Mozilla Firefox 1.x si Mozilla Firefox 2.0.x, utilizatorii fiind sfatuiti sa actualizeze la versiunea 1.5.0.9 sau 2.0.0.1.
1. O serie de erori in motorul de interpretare JavaScript si de plasare a elementelor instantiate in pagina pot fi exploatate pentru a forta coruperea unei zone de memorie si unele pot chiar permite executia de cod arbitrar.

2. In cazul Windows, este posibil ca la activarea unui plugin ce creeaza un element de tip Direct3D sa se utilizeze procedurile de reducere a preciziei de calcul matematic a procesorului, functia js_dtoa() sa nu isi termine corect executia, ceea ce poate conduce la coruperea unei zone de memorie.

3. O eroare de verificari de limite poate aparea la modificarea imaginii cursorului incat sa foloseasca un fisier de tip Windows Bitmap (folosind proprietatea CSS cursor) poate fi exploatata pentru a forta aparitia unei erori de tip heap-based buffer overflow.

4. O eroare nespecificata in functia JavaScript watch() poate fi exploatata pentru a executa cod arbitrar.

5. O eroare in cadrul modulului LiveConnect poate fi exploatata pentru a forta ca un obiect deja eliberat sa fie folosit si posibil poate permite executia de cod arbitrar.

6. O eroare la interpretarea atributelor src ale elementelor de tip IMG incarcate intr-un frame poate fi exploatata pentru a modifica atributele resursei URI javascript:. Aceasta poate permite executia de cod arbitrar HTML si script in sesiunea de browser a utilizatorului care viziteaza un sit special modificat.

7. O eroare la interpretarea obiectelor SVG comentate poate fi exploatata pentru a forta coruperea unei zone de memorie si permite executia de cod arbitrar prin adaugarea unui obiect comentariu de tip SVG intr-un alt tip de document (ex. HTML).

8. Doar in cazul seriei de browser Firefox 2.x, in cazul utilizarii functionalitatii Feed Preview este posibil ca siturile de pe care sunt utilizate resursele accesate sa poata fi special modificate incat sa obtina informatii despre accesurile anterioare pe alte situri ale utilizatorului prin intermediul acestei functionalitati.

9. In seria de browser Firefox 2.x a fost limitata functionalitatea ce permite utilizarea de prototipuri de functii in cadrul codului JavaScript procesat, ceea ce poate conduce la controlul incorect asupra acestor obiecte. Ca urmare, aceasta poate fi exploatata pentru a executa cod arbitrar HTML si script in sesiunea de browser a utilizatorului.

Sursa: Chip

Citeaza articolul pe site-ul tau | Vizualizari: 3427 | Imprimare | E-mail

Comenteaza articolul

Te rog posteaza un comentariu legat de acest subiect. Nu folositi limbaje licentioase. Comentariile care au in continutul lor trivialitati vor fi sterse! In cazul in care gresiti codul de securitate apasati refresh pentru generarea unui cod nou.
Nume:
Adresa email:
Adresa website:
Titlu:
Comentariu:
Cod:*