>Форум Mozilla Россия
   http://forum.mozilla-russia.org/index.php
>Флейм
   http://forum.mozilla-russia.org/viewforum.php?id=14
>Множественные уязвимости в браузере Mozilla
   http://forum.mozilla-russia.org/viewtopic.php?id=1400

ZenGeist > 04-02-2005 12:55:31

Программа: Mozilla 0.x, Mozilla 1.0, Mozilla 1.1, Mozilla 1.2, Mozilla 1.3, Mozilla 1.4, Mozilla 1.5, Mozilla 1.6, Mozilla 1.7.x, Mozilla Firefox 0.x, Mozilla Thunderbird 0.x

Обнаруженные уязвимости в браузерах Mozilla, Mozilla Firewox и Mozilla Thunderbird позволяют злоумышленнику обойти ограничения безопасности, произвести подмену содержимого страницы, выполнить XSS и получить доступ к важной информации пользователей.

1. Уязвимость при обработке ссылок в функции toString() позволяет злоумышленнику открыть злонамеренную страницу в новой вкладке вместо локального ресурса.

2. Ошибка при показе иконки SSL соединения позволяет злоумышленнику вывести иконку при загрузке исполняемого файла.

3. Злонамеренный сайт может подменить SSL иконку с помощью специально сформированного «view-source:» URL.

4. Сценарий, генерирующий клики обрабатывается как обычные клики мышки и может быть использован для загрузи злонамеренных приложения без уведомления целевого пользователя.

5. Ошибка при обработке кликов средней кнопкой мыши может использоваться атакующим для получения содержимого локального буфера обмена на некоторых системах.

6. Ошибка при обработке запроса сервера «407» для авторизации может позволить злоумышленнику с помощью произвольного SSL сервера получить NTLM или SPNEGO данные.

7. Ссылки, содержащие «javascript:» загружаются из почтового клиента браузером по умолчанию.

8. Почтовый клиент некорректно обрабатывает cookie запросы по HTTP.

9. Возможен межсайтовый скриптинг из-за недостаточной проверки при сохранении закладок. Удаленный пользователь может внедрить "javascript:" и"data:" URL и выполнить произвольный HTML сценарий в браузере жертвы.

Тем, у кого старые версии данных продуктов я рекомендую в СРОЧНОМ ПОЯДКЕ их обновить!!!
Я расцениваю эти уязвимости как весьма серьезные.

][akep.ru

ragnaar > 04-02-2005 15:00:01

Оч интересно, у кого эти версии стоят?  Как написали на форуме SecurityLab - "Некрофилы! кто ж в старых версиях копается???" :)

Barkett > 04-02-2005 15:20:58

Рагнаар, ты верно пропустил

Программа: ... skipped ... Mozilla 1.7.x

Поэтому до выхода 1.8 stable замечание с форума SecurityLab мне кажется неуместным...

FUBAr > 04-02-2005 19:10:20

папсёры эти хакер ру

ZenGeist > 04-02-2005 19:26:51

На войне все средства хороши ;)

Unghost > 05-02-2005 00:43:20

Поэтому до выхода 1.8 stable замечание с форума SecurityLab мне кажется неуместным...

В Mozilla 1.7.5 уязвимость отсутствует.
http://www.securitylab.ru/52385.html

Решение: Установите исправления
Mozilla:
Обновите до версии 1.7.5.
http://www.mozilla.org/products/mozilla1.x/

Swappp > 05-02-2005 21:50:03

Кто то просто ChangeLog почитал... :)