Mozilla产品存在多个远程安全漏洞

您现在的位置：猫头鹰病毒资讯网 >> 系统安全 >> 系统安全 >> 文章正文

Mozilla产品存在多个远程安全漏洞

作者：ta 文章来源：赛迪网点击数：更新时间：2007-5-17

金山联盟百度打造中国互联网

国内知名的信息网络安全厂商金山联手全球最大的中文搜索引擎百度共同推出一款基于WEB的零客户端（网页方式）的安全解决方案——“百度……

金山联盟百度打造中国互联网第一免费杀毒平台

Nod32获得Avc本年度最佳反病毒产品殊荣

常见手机病毒分析

PPLive携手ESET NOD32发布免费版杀毒防毒软件

卡巴斯基7.0简体中文版上市

受影响系统：

　　RedHat Enterprise Linux WS 3 
    RedHat Enterprise Linux ES 3 
    RedHat Enterprise Linux AS 3 
    Mozilla Firefox < 1.5.0.5 
    Mozilla Thunderbird < 1.5.0.5 
    Mozilla SeaMonkey < 1.0.3

不受影响系统：

　　Mozilla Firefox 1.5.0.5 
    Mozilla Thunderbird 1.5.0.5 
    Mozilla SeaMonkey 1.0.3

描述：

BUGTRAQ ID: 19181

CVE(CAN) ID: CVE-2006-3113,CVE-2006-3677,CVE-2006-3801,CVE-2006-3802,CVE-2006-3803,CVE-2006-3804,CVE-2006-3805,CVE-2006-3806,CVE-2006-3807,CVE-2006-3808,CVE-2006-3809,CVE-2006-3810,CVE-2006-3811,CVE-2006-3812

Mozilla Firefox/SeaMonkey/Thunderbird都是Mozilla发布的WEB浏览器和邮件新闻组客户端产品。

上述产品中存在多个安全漏洞，具体如下：

Firefox及其衍生产品处理某些javascript操作时存在几个漏洞。恶意的web页面可能以chrome权限执行任意javascript指令，允许窃取敏感信息或安装恶意的浏览器软件。（CVE-2006-3807，CVE-2006-3809，CVE-2006-3812）

Firefox及其衍生产品处理某种web内容时存在几个拒绝服务漏洞。恶意的web页面可能导致浏览器崩溃或以当前用户的权限执行任意代码。（CVE-2006-3801，CVE-2006-3677，CVE-2006-3113，CVE-2006-3803，CVE-2006-3805，CVE-2006-3806，CVE-2006-3811）

Firefox及其衍生产品显示畸形的内嵌vcard附件的方式存在缓冲区溢出漏洞。如果受害用户浏览了包含有特制vcard的邮件消息的话，就会以当前用户的权限执行任意代码。（CVE-2006-3804）

Firefox及其衍生产品处理某些javascript操作的方式存在几个漏洞。恶意的web页面可能导致执行跨站脚本攻击或窃取敏感信息，如其他域中的cookies。（CVE-2006-3802，CVE-2006-3810）

Firefox及其衍生产品处理Proxy AutoConfig脚本的方式存在漏洞。恶意的Proxy AutoConfig服务器可能以chrome权限执行任意javascript指令，允许页面窃取敏感信息或安装恶意的浏览器软件。（CVE-2006-3808）

<*来源：Thilo Girmann

ZDI （http://www.zerodayinitiative.com/）

Thor Larholm （Thor@jubii.dk）

H D Moore （hdm@metasploit.com）

Igor Bukanov

shutdown （shutdown@flashmail.com）

Georgi Guninski （guninski@guninski.com）

moz_bug_r_a4 （moz_bug_r_a4@yahoo.com）

Benjamin Smedberg

Daniel Veditz

链接：http://www.mozilla.org/security/announce/2006/mfsa2006-44.html

http://www.mozilla.org/security/announce/2006/mfsa2006-45.html

http://www.zerodayinitiative.com/advisories/ZDI-06-025.html

http://www.mozilla.org/security/announce/2006/mfsa2006-46.html

http://secunia.com/secunia_research/2006-53/advisory/

http://www.mozilla.org/security/announce/2006/mfsa2006-47.html

http://www.mozilla.org/security/announce/2006/mfsa2006-48.html

http://www.mozilla.org/security/announce/2006/mfsa2006-49.html

http://www.mozilla.org/security/announce/2006/mfsa2006-50.html

http://www.mozilla.org/security/announce/2006/mfsa2006-51.html

http://www.mozilla.org/security/announce/2006/mfsa2006-52.html

http://www.mozilla.org/security/announce/2006/mfsa2006-53.html

http://www.mozilla.org/security/announce/2006/mfsa2006-54.html

http://www.mozilla.org/security/announce/2006/mfsa2006-55.html

Mozilla Foundation Security Advisory 2006-56

http://www.auscert.org.au/render.html?it=6539template=1

http://www.us-cert.gov/cas/techalerts/TA06-208A.html

建议：

临时解决方法：

* 禁用JavaScript。

* 禁止在线显示附件，不要点击或打开VCard附件。

* 禁用Proxy AutoConfig（默认设置）。

厂商补丁：

Mozilla

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://download.mozilla.org/?product=seamonkey-1.0.3&os=win&lang=en-US

http://www.mozilla.com/products/download.html?product=firefox-1.5.0.5&os=linux&lang=en-US

http://www.mozilla.com/products/download.html?product=thunderbird-1.5.0.5&os=linux&lang=en-US

RedHat

RedHat已经为此发布了一个安全公告（RHSA-2006:0608-01）以及相应补丁:

RHSA-2006:0608-01：Critical: seamonkey security update

相关链接：http://www.auscert.org.au/render.html?it=6539template=1

(t116)

文章录入：菜猫责任编辑：菜猫

上一篇文章：安全秘籍：保证Windows 2000的安全

下一篇文章： Web2.0安全危机新技术带来的攻击漏洞

热点文章