Lukuisia haavoittuvuuksia Firefox- ja Mozilla-ohjelmistoissa

Firefox- ja Mozilla-ohjelmistoista on löydetty yhdeksän haavoittuvuutta. Haavoittuvuuksista neljää voidaan pitää erityisen merkittävinä.

Haavoittuvuuksista ensimmäinen liittyy selaimen sidebar-ominaisuuteen. Puutteellisista turvatarkastuksista johtuen vihamieliseltä www-sivulta on mahdollista avata selaimen suojattu sivu, kuten selaimen konfigurointisivu about:config, ja suorittaa vihamielistä ohjelmakoodia ilman turvatarkastuksia.

Toinen haavoittuvuuksista liittyy DOM (Document Object Model) -ominaisuuteen. Selain luottaa virheellisesti DOM-ominaisuuteen liittyviin parametreihin, vaikka niitä voidaan muokata vihamielisen www-sivun kautta.

Kolmas haavoittuvuuksista liittyy sellaisen link-tagin käsittelyyn, jolla selain lataa tietyn kuvan ikoniksi. Jos tällainen tagi sisältää viittauksen javaskriptiin, suoritetaan kyseinen javaskripti kohdejärjestelmässä ilman turvarajoituksia selaimen käyttäjän oikeuksilla.

Neljäs haavoittuvuuksista liittyy PFS (Plugin Finder Service) -toimintoon. PFS-toiminnon avulla on mahdollista ladata selaimesta puuttuva "plugin", jota www-sivulla tarvitaan. Www-sivu voi tarjota PLUGINSPAGE-attribuutilla tiettyä osoitetta PFS:lle, josta puuttuva "plugin" on mahdollista ladata. Jos PLUGINSPAGE-atribuutti sisältääkin viittauksen javaskriptiin, suoritetaan tämä javaskripti selaimen käyttäjän oikeuksilla.

Kaikkia edellä mainittuja haavoittuvuuksia hyväksikäyttämällä hyökkääjän on mahdollista suorittaa omia komentojaan kohdetietojärjestelmässä. Kolmen ensin mainitun haavoittuvuuden hyväksikäyttö ei vaadi käyttäjältä muita aktiivisia toimenpiteitä kuin vihamielisen www-sivun avaamisen.

Muita löydettyjä haavoittuvuuksia hyväksikäyttämällä hyökkääjän on mahdollista mm. lukea selaimen varaamaa muistiavaruutta tai päästä käsiksi evästeisiin.

Varoituksen kohderyhmä

  • Firefox 1.0.2 ja tätä aiemmat versiot

  • Mozilla 1.7.6 ja tätä aiemmat versiot

Ratkaisu- ja rajoitusmahdollisuudet

Päivitä haavoittuva Firefox -selainohjelmisto versioon 1.0.3 osoitteesta:

http://www.mozilla.org/products/firefox/

Päivitä haavoittuva Mozilla-ohjelmisto versioon 1.7.7 osoitteesta:

http://www.mozilla.org/products/mozilla1.x/

Lisätietoa

http://www.mozilla.org/security/announce/

Päivityshistoria

Asiasanat: Tietoturva , Varoitukset

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00561 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248