Hệ thống bị ảnh hưởng
Các phần mềm sau của Mozilla bị ảnh hưởng bởi lỗi bảo mật này
- Trình duyệt web, email và newsgroup
- Trình duyệt web Firefox
- Phần mềm email người dùng Thunderbird
Một vài lỗi bảo mật tồn tại trong trình duyệt web Mozilla và các sản phẩm khác hầu hết rất nghiêm trọng. Nó có thể cho phép kẻ tấn công thực thi bất kỳ những đoạn mã nguy hiểm trên những hệ thống bị ảnh hưởng
Mô tả
Các lỗi bảo mật này đã được gửi tới hãng Mozilla. Các thông tin chi tiết về lỗi bảo mật này như sau:
Mozilla Mail là lỗi tràn bộ đệm trong khi hiển thị các Vcards thông thường. Bằng cách gửi một nội dung email với thông tin Vcard giả tạo, kẻ tấn công có thể thực thi các đoạn mã trên máy nạn nhân với đặc quyền người dùng hiện tại.
VU#847200 – Sự tràn bộ đệm trong quá trình giải mã hình ảnh bitmap
Kẻ tấn công gửi đi các bức ảnh có chứa các đoạn mã nguy hiểm và chiếm quyền điều khiển trên các hệ thống bị ảnh hưởng
VU#808216 – Lỗi tràn heap trong quá trình chuyển đổi chế độ mã UTF-8 của tên máy chủ của chuỗi URLs
Bằng cách này kẻ tấn công lợi dụng lỗi trong chuỗi dẫn địa chỉ mạng URLs để thực thi các đoạn mã bất kỳ trên hệ thống bị ảnh hưởng
VU#125776 – Nhiều lỗi tràn bộ đệm trong các giao thức gửi nhận thư POP3
VU#327560 – Lỗi tràn bộ đệm trong tính năng “Send page” của Mozilla
Lỗi này cũng cho phép kẻ tấn công thực thi các đoạn mã trên các máy tính bị ảnh hưởng
VU#651928 – Lỗi này cho phép thực thi bất kỳ một đoạn mã nào thông qua việc kéo thả liên kết
Tác động
Các lỗi này có thể cho phép một kẻ tấn công từ xa có thể thực thi bất kỳ các đoạn mã với các đặc quyền của người dùng hiện tại trên các ứng dụng bị ảnh hưởng
VU#847200 có thể cho phép kẻ tấn công từ xa phá huỷ hệ thống bị tác động
Nâng cấp và cập nhật các miếng vá
Mozilla đã cho phát hành các bản sửa lỗi của các phần mềm bị ảnh hưởng sau:
- Cố vấn bảo mật Mozilla –
<http://www.mozilla.org/projects/security/known-vulnerabilities.html>
- Mozilla 1.7.2 lỗi Non-ACII –
<http://www.zencomsec.com/advisories/mozilla-1.7.2-UTF8link.txt>
- Kiểm tra và phân tích bảo mật của các file ảnh .bmp, Gaël Delalleau –
<http://www.zencomsec.com/advisories/mozilla-1.7.2-BMP.txt>
- Kiểm tra và phân tích lỗi bảo mật giao thức nhận thư POP3, Gaël Delalleau - <http://www.zencomsec.com/advisories/mozilla-1.7.2-POP3.txt>
- US-CERT Vulnerability Note VU#414240 - <http://www.kb.cert.org/vuls/id/414240>
- US-CERT Vulnerability Note VU#847200 - <http://www.kb.cert.org/vuls/id/847200>
- US-CERT Vulnerability Note VU#808216 - <http://www.kb.cert.org/vuls/id/808216>
- US-CERT Vulnerability Note VU#125776 - <http://www.kb.cert.org/vuls/id/125776>
- US-CERT Vulnerability Note VU#327560 - <http://www.kb.cert.org/vuls/id/327560>
- US-CERT Vulnerability Note VU#651928 - <http://www.kb.cert.org/vuls/id/651928>