Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1447

[Generic/Firefox] Schwachstelle in Firefox
(2008-04-18 10:11:22.69288+00)

Quelle: http://www.mozilla.org/security/announce/2008/mfsa2008-20.html

Eine Schwachstelle im JavaScript Garbage Collector des Webbrowsers Firefox sowie des E-Mail-Programms Thunderbird und der Web-Suite Seamonkey kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden Rechnersystem auszuführen.

Betroffene Systeme

Nicht betroffene Systeme

Einfallstor
Webseite oder E-Mail-Nachricht, die entsprechend präparierten JavaScript-Code enthält

Angriffsvoraussetzung
Benutzerinteraktion - ein Benutzer eines betroffenen Systems muss eine entsprechende Webseite oder E-Mail-Nachricht betrachten
(user interaction)

Angriffsvektorklasse
über eine Netzwerkverbindung
(remote)

Auswirkung
Ausführung beliebigen Programmcodes auf dem beherbergenden Rechnersystem
(user compromise)

Typ der Verwundbarkeit
nicht näher definierte Schwachstelle, die zu einer Speicherverletzung führt

Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Eine Schwachstelle im JavaScript Gabage Collector des Webbrowsers Firefox, der auch vom Mail User Agent Thunderbird sowie der Web-Suite Seamonkey verwendet wird, kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des Browser-Prozesses auf dem beherbergenden Rechnersystem auszuführen. Dies sind die Privilegien des den Browser verwendenden Benutzers.

Zur erfolgreichen Ausnutzung der Schwachstelle ist es erforderlich, dass der Benutzer eine entsprechend präparierte Webseite oder E-Mail-Nachricht betrachtet.

Die Schwachstelle wurde bei der Behebung einer der unter RUS-CERT#1438 beschriebenen Schwachstelle (CVE-2008-1337) versehentlich eingeführt.

Workaround
Abschaltung von JavaScript

Gegenmaßnahmen
Installation

der aktualisierten Pakete der verschiedenen Linux-Distributoren

Vulnerability ID

Sowie

Weitere Information zu diesem Thema

Revisionen dieser Meldung

(og)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1447