Haavoittuvuus Firefox-, Mozilla- ja Netscape-selaimissa

IDN (Internationalized Domain Names) -tuen avulla selain kykenee käsittelemään unicode-merkistön mukaisia dns-nimiä. Unicode-merkistön mukaisia dns-nimiä ovat mm. ääkkösiä sisältävät osoitteet. Firefox-, Mozilla- ja Netscape-selaimista on löydetty IDN-tukeen liittyvä haavoittuvuus.

Löydetty haavoittuvuus liittyy HTML-koodissa olevan URL-parametrin käsittelyyn. URL-parametrin sisältämä tietyllä tavalla muokattu DNS-nimi aiheuttaa selainohjelmistossa puskuriylivuodon, jota hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa kohdejärjestelmässä omia komentojaan. Haavoittuvuutta voidaan hyväksikäyttää www-sivun ja HTML-sähköpostin kautta.

Varoituksen kohderyhmä

  • Mozilla Firefox versio 1.0.6 ja sitä aikaisemmat versiot

  • Mozilla Firefox versio 1.5 Beta 1 ja sitä aikaisemmat versiot

  • Mozilla Suite versio 1.7.11 ja sitä aikaisemmat versiot

  • Netscape versio 8.0.3.3 ja sitä aikaisemmat versiot

Ratkaisu- ja rajoitusmahdollisuudet

Päivitä haavoittuva Firefox-selainohjelmisto versioon 1.0.7 osoitteesta:

http://www.mozilla.org/

Päivitä haavoittuva Mozilla Suite -selainohjelmisto versioon 1.7.12 osoitteesta:

http://www.mozilla.org/products/mozilla1.x/

Päivitä haavoittuva Netscape-selainohjelmisto versioon 8.0.4 osoitteesta:

http://browser.netscape.com/ns8/download/default.jsp

IDN-tuen voi poistaa haavoittuvasta selaimesta manuaalisesti seuraavasti:

1. Kirjoita osoiteriville "about:config"
2. Etsi listasta "network.enableIDN" -parametri
3. Valitse parametri hiirellä ja vaihda sen arvoksi "false"

Lisätietoa

https://addons.mozilla.org/messages/307259.html

http://security-protocols.com/advisory/sp-x17-advisory.txt

http://www.mozilla.org/products/firefox/releases/1.0.7.html

http://www.mozilla.org/security/announce/mfsa2005-57.html

http://browser.netscape.com/ns8/security/alerts.jsp


Päivityshistoria

Asiasanat: Tietoturva , Varoitukset

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00561 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248