Bug 8128 - Множественные уязвимости в Mozilla
: Множественные уязвимости в Mozilla
Status: CLOSED FIXED
: ALT Linux 2.4
(All bugs in ALT Linux 2.4/mozilla)
: 2.4
: all Linux
: P2 major
Assigned To:
:
: http://www.securitylab.ru/vulnerabili...
:
:
:
  Show dependency tree
 
Reported: 2005-10-04 11:00 by
Modified: 2005-11-15 17:08 (History)


Attachments


Note

You need to log in before you can comment on or make changes to this bug.


Description From 2005-10-04 11:00:08
Обнаруженные уязвимости позволяют удаленному пользователю выполнить
произвольный код на целевой системе.

1. Удаленный пользователь может создать специально сформированное XBM
изображение, вызвать переполнение буфера и выполнить произвольный код на
целевой
системе.

2. Удаленный пользователь может создать HTML страницу со специально
сформированной Unicode последовательностью “zero-width non-joiner”
и вызвать
отказ в обслуживании браузера или выполнить произвольный код на системе.

3. Уязвимость существует при обработке XMLHttp запросов. Удаленный пользователь
может создать специально сформированную HTML страницу, чтобы подменить
XMLHttpRequest заголовки для эксплуатации других уязвимостей на системе или
генерации XMLHttp запросов к другим хостам.

4. Удаленный пользователь может создать специально сформированную HTML
страницу,
которая подменит XML объекты и создаст XBL связку для выполнения произвольного
JavaScript сценария с повышенными привилегиями.

5. Переполнение целочисленных обнаружено в механизме обработки Javascript.
Удаленный пользователь может создать специально сформированную HTML страницу и
выполнить произвольный код на целевой системе.

6. Удаленный пользователь может создать специально сформированный HTML код,
которая откроет страницу 'about:' и выполнит произвольный Javascript сценарий с
повышенными привилегиями.
------- Comment #1 From 2005-10-04 14:07:13 -------
Вообще-то в Sisyphus и backports/2.4 есть 1.7.12; согласно обсуждению в
backports@, сборка переедет в updates, как только будет подтверждение
нормальной
работы mozilla-mail на Master 2.4.
------- Comment #2 From 2005-10-05 13:40:56 -------
Увидел. Спасибо за разъяснения.
------- Comment #3 From 2005-11-10 11:13:48 -------
Люди, использующие mozilla-mail в новой сборке проблем не замечали. Так что
ждем
в SA updates.
------- Comment #4 From 2005-11-15 17:08:53 -------
Просьбу переложить пакеты отправил ldv