• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Выполнение произвольного кода

Главная Специалистам База уязвимостей Выполнение произвольного кода

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:C/I:C/A:C)
Производитель ПО
HP
Наименование ПО
Mozilla (2.0.0.11) Firefox (2.0.0.1) SeaMonkey (1.0.7, 1.0.8) devhelp (Unknown) firefox (Unknown) seamonkey (Unknown) thunderbird (Unknown)
Описание
Mozilla Firefox и SeaMonkey позволяют злоумышленникам, действующим удаленно, выполнять произвольный код, используя JavaScript-обработчики события onUnload, изменяющие структуру документа, что вызывает повреждения областей памяти из-за отсутствия финальной обработки DOM-window объектов.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.mozilla.org/
Ссылки
BUGTRAQ (20070223 Firefox onUnload + document.write() memory corruption vulnerability (MSIE7 null ptr)): http://www.securityfocus.com/archive/1/archive/1/461024/100/0/threaded
http://www.mozilla.org/security/announce/2007/mfsa2007-08.html
https://bugzilla.mozilla.org/show_bug.cgi?id=371321
CERT-VN (VU#393921): http://www.kb.cert.org/vuls/id/393921
BID (22679): http://www.securityfocus.com/bid/22679
https://issues.rpath.com/browse/RPL-1103
MANDRIVA (MDKSA-2007:050): http://frontal2.mandriva.com/security/advisories?name=MDKSA-2007:050
REDHAT (RHSA-2007:0078): http://www.redhat.com/support/errata/RHSA-2007-0078.html
SUSE (SUSE-SA:2007:019): http://lists.suse.com/archive/suse-security-announce/2007-Mar/0001.html
UBUNTU (USN-428-1): http://www.ubuntu.com/usn/usn-428-1
SECTRACK (1017701): http://www.securitytracker.com/id?1017701
XF (mozilla-onunload-code-execution(32648)): http://xforce.iss.net/xforce/xfdb/32648
XF (ie-mozilla-onunload-dos(32647)): http://xforce.iss.net/xforce/xfdb/32647
SGI (20070301-01-P): ftp://patches.sgi.com/support/free/security/advisories/20070301-01-P.asc