Виявлені уразливості дозволяють віддаленому користувачу зробити XSS напад, одержати доступ до важливих даних, викликати відмову в обслуговуванні і виконати довільний код на цільовій системі.
1. Виявлено різні помилки в механізмах розкладки і JavaScript. Віддалений користувач може за допомогою спеціально сформованої веб сторінки викликати ушкодження пам’яті і потенційно виконати довільний код на цільовій системі.
2. Уразливість існує через помилку при зменшенні роботи точності процесорів із плаваючою крапкою, наWindows системі при завантаженні плагина, що створює Direct3D пристрій. Зловмисник може змусити функцію “js_dtoa()” спожити всі доступні ресурси на системі і викликати відмову в обслуговуванні.
3. Уразливість існує через помилку перевірки границь даних під час установки курсору в Windows bitmap з використанням CSS властивості курсору. Віддалений користувач може викликати переповнення динамічної пам’яті і виконати довільний код на цільовій системі.
4. Виявлено помилку в JavaScript функції “watch()”. Віддалений користувач може виконати довільний код на цільовій системі.
5. Уразливість існує в LiveConnect, що дозволяє вже звільненому об’єкту бути використаним ще раз. Віддалений користувач може виконати довільний код на цільовій системі.
6. Уразливість існує через помилку при обробці атрибута “src” тега IMG, завантаженому у фреймі. Віддалений користувач може змінити атрибут на “javascript:” URI і виконати довільний javascript сценарій у браузері жертви в контексті безпеки сайта.
7. Помилка ушкодження пам’яті виявлена при обробці SVG. Віддалений користувач може виконати довільний код шляхом приєднання SVG коментарю DOM вузла від одного документа до іншого типу документа (наприклад, HTML).
8. Властивість “Feed Preview” у Firefox 2.0 може дозволити зловмиснику одержати доступ до потенційно важливих даних при одержанні іконки агрегатора новин.
9. Регресія прототипу Function у Firefox 2.0 може дозволити зловмиснику виконати довільний код сценарію в браузері жертви в контексті безпеки уразливого сайта.
Рекомендую встановити останню версію (1.5.0.9 чи 2.0.0.1) із сайта виробника.
- Множественные уязвимости в Mozilla Firefox (деталі)