[Generic/Firefox] Schwachstelle in Firefox
(2008-04-18 10:11:22.69288+00)
Quelle:
http://www.mozilla.org/security/announce/2008/mfsa2008-20.htmlEine Schwachstelle im JavaScript Garbage Collector des Webbrowsers Firefox sowie des E-Mail-Programms Thunderbird und der Web-Suite Seamonkey kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden Rechnersystem auszuführen.
Betroffene Systeme
- Firefox 2.0.0.13
- Thunderbird 2.0.0.13
- SeaMonkey 1.1.9
Nicht betroffene Systeme
- Firefox 2.0.0.14
- Thunderbird 2.0.0.14
- SeaMonkey 1.1.10
Einfallstor
Webseite oder E-Mail-Nachricht, die entsprechend präparierten JavaScript-Code enthält
Angriffsvoraussetzung
Benutzerinteraktion - ein Benutzer eines betroffenen Systems muss eine entsprechende Webseite oder E-Mail-Nachricht betrachten
(user interaction)
Angriffsvektorklasse
über eine Netzwerkverbindung
(remote)
Auswirkung
Ausführung beliebigen Programmcodes auf dem beherbergenden Rechnersystem
(user compromise)
Typ der Verwundbarkeit
nicht näher definierte Schwachstelle, die zu einer Speicherverletzung führt
Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)
Beschreibung
Eine Schwachstelle im JavaScript Gabage Collector des Webbrowsers Firefox, der auch vom Mail User Agent Thunderbird sowie der Web-Suite Seamonkey verwendet wird, kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des Browser-Prozesses auf dem beherbergenden Rechnersystem auszuführen. Dies sind die Privilegien des den Browser verwendenden Benutzers.
Zur erfolgreichen Ausnutzung der Schwachstelle ist es erforderlich, dass der Benutzer eine entsprechend präparierte Webseite oder E-Mail-Nachricht betrachtet.
Die Schwachstelle wurde bei der Behebung einer der unter RUS-CERT#1438 beschriebenen Schwachstelle (CVE-2008-1337) versehentlich eingeführt.
Workaround
Abschaltung von JavaScript
Gegenmaßnahmen
Installation
- Firefox 2.0.0.14
- Thunderbird 2.0.0.14
- SeaMonkey 1.1.10
Vulnerability ID
Weitere Information zu diesem Thema
Revisionen dieser Meldung
- V 1.0 (2008-04-18)
- V 1.1 (2008-04-24)
- Fehlerkorrektur: Vertauschung der Inhalte der Sektionen Betroffene Systeme und Nicht betroffene Systeme behoben (Dank an Markus Engelberg für den Hinweis)
Weitere Artikel zu diesem Thema:
- [Genric/Mozilla] Firefox 2.0.0.13 behebt zahlreiche Schwachstellen (2008-03-27)
Mit der Version 2.0.0.13 des quelloffenen Webbrowsers Firefox behebt das Mozilla-Projekt zahlreiche, teils kritische Schwachstellen. Neben der Ausführung beliebigen Programmcodes auf dem beherbergenden Rechnersystem ermöglichen die Schwachstellen die Darstellung fremden Inhalts in angezeigten Seiten (Cross-Site-Scripting), die Ausführung von JavaScript-Code mit erhöhten Privilegien sowie Datendiebstahl auf verschiedene Weise. Es wird empfohlen, die aktuelle Version des Browsers bzw. aktualisierte Pakete der verschiedenen Distributoren zu installieren.
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=1447