:::
主內容區域
| 風險等級: | 高度威脅 |
| 摘 要: | Mozilla Firefox /Firefox ESR /Thunderbird /SeaMonkey 存在暴露機敏資訊的弱點,惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後,便可執行任意程式碼、提升權限、規避部份安全限制等讓使用者系統受駭之安全性弱點。
目前已知會受到影響的版本為 Mozilla Firefox 22.x (含)之前版本、 Mozilla Firefox ESR /Thunderbird 17.x (含)之前版本、 Mozilla SeaMonkey 2.x (含)之前版本,中華電信 SOC 建議使用者應儘速上網更新,以降低受駭風險。 |
| 影響系統: |
|
| 解決辦法: | 手動下載安裝: |
| 細節描述: |
Mozilla 近日對 Firefox 、 Firefox ESR 、 Thunderbird 、 SeaMonkey 發布多項弱點,該弱點起因於 (1)非預期錯誤可能被利用來導致記憶體毀損(memory corruption)。 (2)在 SetBody 轉變事件的期間,修改文件物件模型會出現使用釋放後記憶體錯誤(use-after-free error)。 (3)在某些參數中產生一個 CRMF (認證需求信息格式)會存在使用釋放後記憶體錯誤。 (4)在維修服務和 Mozilla 更新中的錯誤,可能導致堆疊緩衝區溢位(stack based buffer overflows) 並執行任意程式代碼。 (5)框架的未明錯誤可能會被利用來進行詐騙式攻擊。 (6)請求某些參數而產生 CRMF (Certificate Request Message Format) 時發生未知錯誤。 (7)處理 XBL 範圍產生的錯誤,可能被利用來繞過 XrayWrappers 。 (8)藉由某些 Javascript 組件驗證 URI (Uniform Resouce Identifier) 的某些錯誤,可能被利用來繞過同網域限制(same-origin policy) 。 尚有其它弱點未一一列出。 惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後,便可執行任意程式碼、洩露機敏性資訊、規避部份安全限制。中華電信 SOC 在此建議使用者應儘速上網下載更新,並勿隨意瀏覽來源不明的網頁以及開啟郵件附加檔案,以降低受駭風險。 |
