Múltiplas vulnerabilidades em produtos Mozilla PDF Imprimir
Categoria: Alertas
terça, 18 abril 2006 10:51
Sistemas Operativos Implicados: Indefinido
Aplicações Implicadas: Mozilla

Foram divulgadas várias vulnerabilidades no navegador de Internet Mozilla e produtos derivados.

I. Sumário

Foram divulgadas várias vulnerabilidades no navegador de Internet Mozilla e produtos derivados. Entre as várias falhas, as mais graves estão relacionadas com a possibilidade de execução de código arbitrário por um atacante remoto no sistema afectado.

II. Descrição

Como já foi referido o impacto das vulnerabilidades mais severas pode levar um atacante remoto a executar código arbitrário com os privilégios do utilizador que estiver a correr a aplicação afectada. Outras vulnerabilidades podem causar denial of service ou divulgação de informação local.

É possível consultar informação detalhada no US-CERT sobre cada vulnerabilidade Mozilla:

VU#932734 - Mozilla crypto.generateCRMFRequest() vulnerability

VU#968814 - Mozilla JavaScript security bypass vulnerability

VU#179014 - Mozilla CSS integer overflow vulnerability

VU#488774 - Mozilla XBL binding vulnerability

VU#842094 - Mozilla JavaScript cloned parent vulnerability

VU#813230 - Mozilla products vulnerable to privilege escalation via XBL.method.eval

VU#736934 - Mozilla products vulnerable to memory corruption via a particular sequence of HTML tags

VU#935556 - Mozilla products may allow CSS border-rendering code to write past the end of an array

VU#350262 - Mozilla DHTML memory corruption vulnerabilities

VU#252324 - Mozilla display style vulnerability

VU#329500 - Mozilla products vulnerable to memory corruption via large regular expression in JavaScript


III. Sistemas Afectados

Mozilla web browser, email e newsgroup client
Mozilla SeaMonkey
Firefox web browser
Thunderbird email client
Mozilla Suite

Qualquer produto baseado nos componentes Mozilla, em particular o Gecko, também poderão estar afectados.


VI. Solução

Aplicar updates Mozilla:

Firefox 1.5.0.2

Thunderbird 1.5.0.2

SeaMonkey 1.0.1

V. Referências

US-CERT:
http://www.us-cert.gov/cas/techalerts/TA06-107A.html






Missão

O CERT.PT tem como missão contribuir para o esforço de cibersegurança nacional nomeadamente no tratamento e coordenação da resposta a incidentes, na produção de alertas e recomendações de segurança e na promoção de uma cultura de segurança em Portugal.

PT EN
Participe Incidente

Contactos

Av. do Brasil 101 
1700-066 Lisboa 
Portugal

Tel: +351 218440177 (9h30-12h30, 14h00-17h30; GMT)  
Fax: +351 218472167

email:

pgp: 342A 17BA DF71 E193 6871 0357 8BDE A247 C523 AAE7

Filiação

FIRST
Acreditação Internacional
Membro da Rede Nacional CSIRTs

Feeds RSS

Alertas

Recomendações

Notícias