[Generic/Firefox] Schwachstelle in Firefox
(2008-04-18 10:11:22.69288+00) Druckversion
Quelle: http://www.mozilla.org/security/announce/2008/mfsa2008-20.html
Eine Schwachstelle im JavaScript Garbage Collector des Webbrowsers Firefox sowie des E-Mail-Programms Thunderbird und der Web-Suite Seamonkey kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden Rechnersystem auszuführen.
Betroffene Systeme
- Firefox 2.0.0.13
- Thunderbird 2.0.0.13
- SeaMonkey 1.1.9
Nicht betroffene Systeme
- Firefox 2.0.0.14
- Thunderbird 2.0.0.14
- SeaMonkey 1.1.10
Einfallstor
Webseite oder E-Mail-Nachricht, die entsprechend präparierten
JavaScript-Code enthält
Angriffsvoraussetzung
Benutzerinteraktion - ein Benutzer eines betroffenen Systems muss eine
entsprechende Webseite oder E-Mail-Nachricht betrachten
(user interaction)
Angriffsvektorklasse
über eine Netzwerkverbindung
(remote)
Auswirkung
Ausführung beliebigen Programmcodes auf dem beherbergenden Rechnersystem
(user compromise)
Typ der Verwundbarkeit
nicht näher definierte Schwachstelle, die zu einer Speicherverletzung
führt
Gefahrenpotential
hoch
(Hinweise zur
Einstufung
des Gefahrenpotentials.)
Beschreibung
Eine Schwachstelle im JavaScript Gabage Collector des Webbrowsers
Firefox, der auch vom Mail User Agent Thunderbird sowie der Web-Suite
Seamonkey verwendet wird, kann von einem Angreifer dazu ausgenutzt
werden, beliebigen Programmcode mit den Privilegien des
Browser-Prozesses auf dem beherbergenden Rechnersystem auszuführen.
Dies sind die Privilegien des den Browser verwendenden
Benutzers.
Zur erfolgreichen Ausnutzung der Schwachstelle ist es erforderlich, dass der Benutzer eine entsprechend präparierte Webseite oder E-Mail-Nachricht betrachtet.
Die Schwachstelle wurde bei der Behebung einer der unter RUS-CERT#1438 beschriebenen Schwachstelle (CVE-2008-1337) versehentlich eingeführt.
Workaround
Abschaltung von JavaScript
Gegenmaßnahmen
Installation
- Firefox 2.0.0.14
- Thunderbird 2.0.0.14
- SeaMonkey 1.1.10
Vulnerability ID
Weitere Information zu diesem Thema
Revisionen dieser Meldung
- V 1.0 (2008-04-18)
- V 1.1 (2008-04-24)
- Fehlerkorrektur: Vertauschung der Inhalte der Sektionen Betroffene Systeme und Nicht betroffene Systeme behoben (Dank an Markus Engelberg für den Hinweis)
Weitere Artikel zu diesem Thema:
- [Genric/Mozilla] Firefox 2.0.0.13 behebt zahlreiche Schwachstellen (2008-03-27)
Mit der Version 2.0.0.13 des quelloffenen Webbrowsers Firefox behebt das Mozilla-Projekt zahlreiche, teils kritische Schwachstellen. Neben der Ausführung beliebigen Programmcodes auf dem beherbergenden Rechnersystem ermöglichen die Schwachstellen die Darstellung fremden Inhalts in angezeigten Seiten (Cross-Site-Scripting), die Ausführung von JavaScript-Code mit erhöhten Privilegien sowie Datendiebstahl auf verschiedene Weise. Es wird empfohlen, die aktuelle Version des Browsers bzw. aktualisierte Pakete der verschiedenen Distributoren zu installieren.
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die Universität
Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel
darf ausschließlich in unveränderter Form und nur zusammen mit diesem
Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine
Veröffentlichung unter diesen Bedingungen an anderer Stelle ist
ausdrücklich gestattet.
Copyright © 2018 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
| Vorherige Meldung | Weitere Meldungen... | Nächste Meldung |
Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.