Haavoittuvuuksia Mozilla-ohjelmistoissa

Firefox -selainohjelmistosta ja Thunderbird -sähköpostiohjelmistosta on löydetty useita vakavia haavoittuvuuksia, joita hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa kohdetietojärjestelmässä omia komentojaan.

Haavoittuvuuksista ensimmäinen on javascriptin käsittelyssä tapahtuva puskurin ylivuoto. Haavoittuvuutta hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa kohdetietojärjestelmässä omia komentojaan.

Toinen haavoittuvuus liittyy tekstin esittämisessä oleviin ajastuksiin. Haavoittuvuutta hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa kohdetietojärjestelmässä omia komentojaan.

Kolmas haavoittuvuus liittyy RSA sormenjälkien implementaatiovirheeseen. Haavoittuvuutta hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa kohdetietojärjestelmää kohtaan man-in-the-middle -tyyppinen hyökkäys.

Neljäs haavoittuvuus liittyy uusien selainikkunoiden tai -välilehtien avaamiseen. Haavoittuvuuteen ei ole korjausta ja Mozilla neuvoo käyttämään ikkunoiden ja välilehtien avaamiseen ainoastaan tiedostovalikosta löytyvää komentoa. Haavoittuvuutta hyväksikäyttämällä hyökkääjän voi olla mahdollista varastaa käyttäjätunnuksia.

Uudessa päivitysversiossa on myös korjattu useita ohjelmiston kaatumiseen johtaneita virheitä, joita hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa kohdetietojärjestelmässä omia komentojaan.

Mozilla varoittaa käyttäjiä hyväksymästä tuntemattomista tai epäluotettavista lähteistä tulevia SSL-sertifikaatteja. Hyökkääjän voi olla tietyissä tapauksissa mahdollista ylikirjoittaa Mozillan päivityksissä käyttämä sertifikaatti, jonka jälkeen hyökkääjän voi olla mahdollista suorittaa kohdetietojärjestelmissä omia komentojaan.

Varoituksen kohderyhmä

  • Mozilla Firefoxin versiota 1.5.0.7 aiemmat versiot
  • Mozilla Thunderbirdin versiota 1.5.0.7 aiemmat versiot

Ratkaisu- ja rajoitusmahdollisuudet

Päivitä haavoittuvat ohjelmistot valmistajan ohjeiden mukaisesti:


http://www.mozilla.com/firefox/
http://www.mozilla.com/thunderbird/

Lisätietoa

Päivityshistoria

Asiasanat: Tietoturva , Varoitukset

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00561 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248