安全漏洞:CN-VA10-29
发布日期:2010年03月25日
漏洞类型:远程执行代码
漏洞评估:严重
受影响的系统:
Mozilla Firefox 3.6.2 及之前版本。
Mozilla Firefox 3.5.8 及之前版本。
Mozilla Firefox 3.0.18 及之前版本。
Mozilla Thunderbird 3.0.2 及之前版本。
Mozilla SeaMonkey 2.0.3 及之前版本。
漏洞描述:
Mozilla Firefox、Thunderbird和SeaMonkey存在多个漏洞,攻击者可能利用漏洞绕过安全限制,执行任意指定的程序,获取系统权限,窃取用户敏感信息。具体漏洞包括:Mozilla Firefox " multipart/x-mixed-replace" 图像远程内存破坏漏洞;Firefox " window.location" 对象非授权数据访问漏洞;Mozilla Firefox远程内存破坏漏洞;Mozilla Firefox"addEventListener" 和"setTimeout"包装对象跨站脚本攻击;Mozilla Firefox图像预载内容策略检查安全绕过漏洞等。目前厂商已经提供了修复方案,CNCERT提醒广大用户请及时下载更新。
解决方案:
Mozilla Firefox用户请更新到 version 3.6.2, 3.5.8 或 3.0.18
http://www.mozilla.com/firefox/
Mozilla Thunderbird 用户请更新到version 3.0.2
http://www.mozilla.com/thunderbird/
Mozilla SeaMonkey 用户请更新到version 2.0.3
http://www.mozilla.com/seamonkey/
参考信息:
http://www.vupen.com/english/advisories/2010/0692
http://www.mozilla.org/security/announce/2010/mfsa2010-09.html
http://www.mozilla.org/security/announce/2010/mfsa2010-10.html
http://www.mozilla.org/security/announce/2010/mfsa2010-11.html
http://www.mozilla.org/security/announce/2010/mfsa2010-12.html
http://www.mozilla.org/security/announce/2010/mfsa2010-13.html
http://www.mozilla.org/security/announce/2010/mfsa2010-14.html
http://www.mozilla.org/security/announce/2010/mfsa2010-15.html
信息提供者:
Mozilla
其它信息:
相关CVE编号:
CVE-2010-0164 、 CVE-2010-0165 、 CVE-2010-0166 、 CVE-2010-0167 、 CVE-2010-0168 、 CVE-2010-0169 、 CVE-2010-0170 、 CVE-2010-0171 、 CVE-2010-0172
漏洞报告文档编写:
国家信息安全漏洞共享平台(CNVD)