Luka w Mozilla Firefox

W popularnej przeglądarce Mozilla wykryto kilka nowych błędów umożliwiających kompromitacje systemu użytkownika. Secunia określiła zagrożenie jako wysoce krytyczne.

1. Błędy w engine JavaScript umożliwiają wykonanie dowolnego kodu w zaatakowanym systemie. Jeden z błędów dotyczy tylko wersji 1.5, inne 1.5 i wszystkich poprzednich.

2. Błąd w dynamicznych stylach, może zostać wykorzystany do wykonania dowolnego kodu w zaatakowanym systemie. Luka wykryta w wersji 1.5.

3. Błąd w metodzie „QueryInterface” w obiektach Location i Navigator umożliwia wykonanie dowolnego kodu. Dotyczy wersji 1.5.

4. Wprowadzenie błędnych danych podczas odwołania do „XULDocument.persist()” pozwala wstrzyknąć dowolny kod XML i JavaScript, który zostanie wykonany z przywilejami programu podczas następnego uruchomienia.

5. Wykryty błąd integer overflow w E4X, SVG i Canvas umożliwia wykonanie dowolnego kodu. Podatność wykryta w wersji 1.5.

6. Błąd w funkcji „nsExpatDriver::ParseBuffer()” w parserze XML umożliwia odczytanie danych umieszczonych na stercie. Podatność nie dotyczy wersji 1.0.

7. Objekt „AnyName” nie posiada odpowiednich zabezpieczeń i umożliwia otworzenie kanału komunikacji pomiędzy dwoma „oknami”. Podatność nie dotyczy wersji 1.0.

Klient pocztowy Thunderbird 1.5 również jest podatny na luki jeśli uruchomiona jest obsługa kodu JavaScript. Domyślnie jest ona wyłączona.

Wszystkim użytkownikom Firefox zalecamy natychmiastowy update do wersji 1.5.0.1.

Źródło informacji: Secunia