2-02-05 10:55
Višestruki sigurnosni propusti Mozille, Firefoxa i Thunderbirda
piše IVOR MILOŠEVIĆ
Otkriveni su sigurnosni propusti u Mozilli, Mozillinom Firefoxu, te Mozillinom Thunderbirdu. Napadač s udaljene lokacije može iskoristiti te propuste, te tako zaobići određene sigurnosne restrikcije, ubaciti zlonamjerne skripte i otkriti osjetljive sistemske informacije.
Korisnicima ranjivih inačica ovih programa preporuča se dogradnja:
Mozille na inačicu 1.7.5:
http://www.mozilla.org/products/mozilla1.x/
Firefoxa na inačicu 1.0:
http://www.mozilla.org/products/firefox/
Thunderbirda na inačicu 1.0:
http://www.mozilla.org/products/thunderbird/
Prema savjetu CERT-a:
Kod Mozilla paketa inačica starijih od 1.7.5, te Mozilla Firefoxa inačica starijih od 1.0 primijećeni su nedostaci pri rukovanju određenim (posebno oblikovanim) linkovima, prikazivanju ikone SSL zaključane datoteke, rukovanja određenim radnjama generiranih programskom skriptom, te rukovanja "407" proxy autorizacijskog zahtjeva. Kao posljedice, ovi nedostaci unose mogućnost povezivanja lokalnog sadržaja koji se korisniku prikazuje u slučaju da zlonamjerni link otvori u novoj "tab" stranici, mogućnost predstavljanja lažnih informacija o korištenju SSL protokola te otkrivanje sadržaja korisnikova clipboarda.
Nedostatak otkriven kod programskog paketa Thunderbird u inačicama starijima od 0.9 je nepravilno učitavanje "javascript:" URL adresa, dok inačice 0.6-0.9 imaju propust nepravilnog odgovaranja na zahtjeve za korisničkim kolačićima (engl. cookie) putem HTTP protokola (taj nedostatak uočen je i kod Mozillu u inačicama 1.7-1.7.3).
Kod web preglednika Mozilla Firefox, inačica starijih od 1.0, uočen je propust funkcionalnosti Livefeed koji udaljenim napadačima otvara mogućnost ubacivanja proizvoljnog HTML odnosno skriptnog koda koji se izvodi u sigurnosnom kontekstu trenutno učitane web stranice. Dodatno, otkriven je i nedostatak koji odredene akcije geneirane od strane programske skripte tumači kao korisnicke, sto otvara mogućnost pisanja po korisnickom datotečnom sustavu.
Detaljnije:
http://www.mozilla.org/security/announce/mfsa2005-01.html
http://www.mozilla.org/security/announce/mfsa2005-03.html
http://www.mozilla.org/security/announce/mfsa2005-04.html
http://www.mozilla.org/security/announce/mfsa2005-07.html
http://www.mozilla.org/security/announce/mfsa2005-08.html
http://www.mozilla.org/security/announce/mfsa2005-09.html
http://www.mozilla.org/security/announce/mfsa2005-10.html
http://www.mozilla.org/security/announce/mfsa2005-11.html
http://www.mozilla.org/security/announce/mfsa2005-12.html
|
