Hệ thống bị ảnh hưởng

Các phần mềm sau của Mozilla bị ảnh hưởng bởi lỗi bảo mật này

• Trình duyệt web, email và newsgroup

• Trình duyệt web Firefox

• Phần mềm email người dùng Thunderbird

Tóm tắt

 

Một vài lỗi bảo mật tồn tại trong trình duyệt web Mozilla và các sản phẩm khác hầu hết rất nghiêm trọng. Nó có thể cho phép kẻ tấn công thực thi bất kỳ  những đoạn mã nguy hiểm trên những hệ thống bị ảnh hưởng

 

Mô tả

 

Các lỗi bảo mật này đã được gửi tới hãng Mozilla. Các thông tin chi tiết về lỗi bảo mật này như sau:

 

VU#414240 – Lỗi bảo mật Mozilla Mail là lỗi tràn bộ đệm thông qua hàm writeGroup() trong file nsVCardObj.cpp

 

Mozilla Mail là lỗi tràn bộ đệm trong khi hiển thị các Vcards thông thường. Bằng cách gửi một nội dung email với thông tin Vcard giả tạo, kẻ tấn công có thể thực thi các đoạn mã trên máy nạn nhân với đặc quyền người dùng hiện tại.

 

VU#847200 – Sự tràn bộ đệm trong quá trình giải mã hình ảnh bitmap

 

Kẻ tấn công gửi đi các bức ảnh có chứa các đoạn mã nguy hiểm và chiếm quyền điều khiển trên các hệ thống bị ảnh hưởng

 

VU#808216 – Lỗi tràn heap trong quá trình chuyển đổi chế độ mã UTF-8 của tên máy chủ của chuỗi URLs

 

Bằng cách này kẻ tấn công lợi dụng lỗi trong chuỗi dẫn địa chỉ mạng URLs để thực thi các đoạn mã bất kỳ trên hệ thống bị ảnh hưởng

 

VU#125776 – Nhiều lỗi tràn bộ đệm trong các giao thức gửi nhận thư POP3

VU#327560 – Lỗi tràn bộ đệm trong tính năng “Send page” của Mozilla

 

Lỗi này cũng cho phép kẻ tấn công thực thi các đoạn mã trên các máy tính bị ảnh hưởng

 

VU#651928 – Lỗi này cho phép thực thi bất kỳ một đoạn mã nào thông qua việc kéo thả liên kết

 

Tác động

Các lỗi này có thể cho phép một kẻ tấn công từ xa có thể thực thi bất kỳ các đoạn mã với các đặc quyền của người dùng hiện tại trên các ứng dụng bị ảnh hưởng

VU#847200  có thể cho phép kẻ tấn công từ xa phá huỷ hệ thống bị tác động

 

Giải pháp

Nâng cấp và cập nhật các miếng vá

Mozilla đã cho phát hành các bản sửa lỗi của các phần mềm bị ảnh hưởng sau:

• Mozilla 1.7.3

• Firefox Preview Release

• Thunderbird 0.8

Phụ lục tham khảo

• Cố vấn bảo mật Mozilla –

<http://www.mozilla.org/projects/security/known-vulnerabilities.html>

• Mozilla 1.7.2 lỗi Non-ACII –

<http://www.zencomsec.com/advisories/mozilla-1.7.2-UTF8link.txt>

• Kiểm tra và phân tích bảo mật của các file ảnh .bmp, Gaël Delalleau –

<http://www.zencomsec.com/advisories/mozilla-1.7.2-BMP.txt>

• Kiểm tra và phân tích lỗi bảo mật giao thức nhận thư POP3, Gaël Delalleau - <http://www.zencomsec.com/advisories/mozilla-1.7.2-POP3.txt>

• US-CERT Vulnerability Note VU#414240 - <http://www.kb.cert.org/vuls/id/414240>

• US-CERT Vulnerability Note VU#847200 - <http://www.kb.cert.org/vuls/id/847200>

• US-CERT Vulnerability Note VU#808216 - <http://www.kb.cert.org/vuls/id/808216>

• US-CERT Vulnerability Note VU#125776 - <http://www.kb.cert.org/vuls/id/125776>

• US-CERT Vulnerability Note VU#327560 - <http://www.kb.cert.org/vuls/id/327560>

• US-CERT Vulnerability Note VU#651928 - <http://www.kb.cert.org/vuls/id/651928>