Численні уразливості в Mozilla Firefox, Thunderbird, Seamonkey

20:29 14.01.2007

Виявлені численні уразливості в додатках Mozilla Firefox, Thunderbird, Seamonkey. Частково я торкався даних уразливостей в записі Численні уразливості в Mozilla Firefox.

Міжсайтовий скріптінг через прототипи функцій. Витік інформації. Переповнення буфера динамічної пам’яті на довгих Content-Type повідомленнях. Ушкодження пам’яті через заголовок CVG. Міжсайтовий скріптінг через img.src. DoS. Підвищення привілеїв через watchpoint в JavaScript. Переповнення буфера через властивість image cursor у CSS. Численні ушкодження пам’яті.

Уразливі версії: Thunderbird 1.5, Firefox 1.5, Seamonkey 1.0, Firefox 2.0.

  • Mozilla Foundation Security Advisory 2006-68 (деталі)
  • Mozilla Foundation Security Advisory 2006-69 (деталі)
  • Mozilla Foundation Security Advisory 2006-70 (деталі)
  • Mozilla Foundation Security Advisory 2006-71 (деталі)
  • Mozilla Foundation Security Advisory 2006-72 (деталі)
  • Mozilla Firefox SVG Processing Remote Code Execution Vulnerability (деталі)
  • Mozilla Foundation Security Advisory 2006-73 (деталі)
  • Mozilla Foundation Security Advisory 2006-74 (деталі)
  • Mozilla Foundation Security Advisory 2006-75 (деталі)
  • Mozilla Foundation Security Advisory 2006-76 (деталі)

2 відповідей на “Численні уразливості в Mozilla Firefox, Thunderbird, Seamonkey”

  1. Хряк каже:

    А почему с запазданием в 1 месяц?

  2. MustLive каже:

    Хряк, майже на місяць (трохи менше, інформація на security.nnov.ru була опублікована 20.12.2006, а я про неї написав 14.01.2007). Про численні уразливості в Mozilla Firefox я написав ще в минулому місяці (відносно оперативно), а от з цією новиною вийшла затримка.

    Насправді подібні випадки мають місце в мене на сайті. І якщо з новинами я намагаюся впорятися більше менш оперативно і опублікувати з мінімальними затримками. То наприклад інформація про уразливості на сайтах (як ти можеш побачити), про які я згадую кожного дня, то зараз я публікую дані анонси десь через 2 (а то і через 2,5) місяці після знаходження самих дір. Тобто затримка чимала, і вона тільки зростає.

    Загальний потік інформації на тему безпеки дуже великий, і він постійно тільки зростає, що я просто не встигаю все публікувати, тому й регулярно мають місце затримки з публікаціями, і часто інформація розміщується з запізненням на місяць (а нерідко і більше).

Leave a Reply

You must be logged in to post a comment.