Новость: Многочисленные уязвимости в Mozilla Firefox и Thunderbird
(Категория: Безопасность)
Добавил Roman I Khimov
Четверг, 16 Сентябрь 2004, 21:04
В браузере Mozilla Firefox и почтовом клиенте Mozilla Thunderbird обнаружены многочисленные уязвимости.
Первая дыра связана с компонентом nsMsgCompUtils.cpp и может быть задействована путем отправки жертве составленного определенным образом электронного письма. При обработке такого послания возникает ошибка переполнения буфера, после чего в системе может быть выполнен произвольный вредоносный код. Похожая уязвимость присутствует в модуле nsVCardObj.cpp. Для реализации атаки необходимо отправить сообщение, содержащее карту vСard, при обработке которой на компьютере-жертве возникнет стековое переполнение буфера.
Переполнение буфера может также возникать при обработке ссылок, содержащих символы в отличной от ASCII кодировке. Результатом нападения, которое может быть осуществлено через вредоносный веб-сайт или электронное письмо, станет выполнение произвольного программного кода. Подробная информация о данной дыре доступна на этой странице. Опасность для пользователей Mozilla представляют и сформированные особым образом графические файлы в формате ВМР, при попытке просмотра которых жертвой злоумышленники получают возможность выполнить на удаленном компьютере произвольные операции.
Еще одна уязвимость может использоваться злоумышленниками с целью манипуляции данными в буфере обмена. Наконец, Mozilla позволяет перемещать ссылки от одного окна к другому, что обеспечивает возможность проведения XSS-атак (Cross-Site Scripting). Все вышеописанные уязвимости устранены в пакетах Mozilla 1.7.3, Firefox 1.0PR и Thunderbird 0.8.
Источник этой новости Центр информации по операционным системам
( http://www.osrc.info/news.php?extend.537 )