• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Бюллетень безопасности RHSA-2010:0966-01

Главная Специалистам База уязвимостей Бюллетень безопасности RHSA-2010:0966-01

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:C/I:C/A:C)
Производитель ПО
Наименование ПО
firefox (any) xulrunner (any) xulrunner-devel (any)
Описание
Mozilla Firefox - это свободно распространяемый веб-браузер.
Ошибки обнаружены при обработке вредоносного контента. Веб-страница, содержащая вредоносный контент, может вызвать аварийное завершение работы Firefox или позволит выполнить произвольный код с привилегиями пользователя, который запустил Firefox. (CVE-2010-3766, CVE-2010-3767, CVE-2010-3772, CVE-2010-3776, CVE-2010-3777)
Уязвимость обнаружена в Firefox при обработке вредоносного JavaScript-кода. Веб-сайт с объектом, который содержит вредоносный JavaScript-код, может заставить Firefox выполнить этот JavaScript-код с привилегиями пользователя, который запустил Firefox. (CVE-2010-3771)
Данное обновление добавляет поддержку библиотеки Sanitiser for OpenType (OTS) в Firefox. Эта библиотека позволяет предотвратить использование шрифтов OpenType для проведения атак, т.к. осуществляет проверку файла шрифтов перед использованием. (CVE-2010-3768)
Ошибка обнаружена в Firefox при загрузке сценариев Java LiveConnect. Вредоносный веб-контент может загрузить сценарий Java LiveConnect так, что плагин получит повышенные привилегии, что позволит выполнить Java-код с привилегиями пользователя, который запустил Firefox. (CVE-2010-3775)
Обнаружено, что исправление для уязвимости CVE-2010-0179 не работает, если используется дополнение Firebug. Если пользователь посещает веб-сайт, содержащий вредоносный JavaScript-код, и дополнение Firebug включено, то Firefox позволяет выполнить произвольный JavaScript-код с привилегиями пользователя, который запустил Firefox. (CVE-2010-3773)
Ошибка обнаружена в Firefox при отображении строки положения пользователя. Веб-сайт злоумышленника может заставить пользователя поверить, что он посещает сайт, указанный в строке положения, а на самом деле этот сайт контролируется злоумышленником. (CVE-2010-3774)
Ошибка, связанная с межсайтовым выполнением сценариев, обнаружена в Firefox при использовании шифрования x-mac-arabic, x-mac-farsi и x-mac-hebrew. Некоторые символы при отображении конвертируются в угловые скобки. Если фильтр на стороне сервера пропускает такие случаи, то Firefox позволяет выполнить произвольный JavaScript-код с привилегиями другого веб-сайта. (CVE-2010-3770)
Технические подробности, связанные с данной уязвимостью, представлены в бюллетенях безопасности Mozilla для Firefox 3.6.13.
Всем пользователям Firefox рекомендуется обновить программное обеспечение версии 3.6.13, чтобы избавиться от указанной проблемы. После установки обновления необходимо перезапустить Firefox, чтобы изменения вступили в силу.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
https://rhn.redhat.com/errata/RHSA-2010-0966.html
Ссылки
https://rhn.redhat.com/errata/RHSA-2010-0966.html
CVE (CVE-2010-3766): https://www.redhat.com/security/data/cve/CVE-2010-3766.html
CVE (CVE-2010-3767): https://www.redhat.com/security/data/cve/CVE-2010-3767.html
CVE (CVE-2010-3768): https://www.redhat.com/security/data/cve/CVE-2010-3768.html
CVE (CVE-2010-3770): https://www.redhat.com/security/data/cve/CVE-2010-3770.html
CVE (CVE-2010-3771): https://www.redhat.com/security/data/cve/CVE-2010-3771.html
CVE (CVE-2010-3772): https://www.redhat.com/security/data/cve/CVE-2010-3772.html
CVE (CVE-2010-3773): https://www.redhat.com/security/data/cve/CVE-2010-3773.html
CVE (CVE-2010-3774): https://www.redhat.com/security/data/cve/CVE-2010-3774.html
CVE (CVE-2010-3775): https://www.redhat.com/security/data/cve/CVE-2010-3775.html
CVE (CVE-2010-3776): https://www.redhat.com/security/data/cve/CVE-2010-3776.html
CVE (CVE-2010-3777): https://www.redhat.com/security/data/cve/CVE-2010-3777.html
BUGZILLA (660408): http://bugzilla.redhat.com/660408
BUGZILLA (660415): http://bugzilla.redhat.com/660415
BUGZILLA (660417): http://bugzilla.redhat.com/660417
BUGZILLA (660419): http://bugzilla.redhat.com/660419
BUGZILLA (660420): http://bugzilla.redhat.com/660420
BUGZILLA (660422): http://bugzilla.redhat.com/660422
BUGZILLA (660429): http://bugzilla.redhat.com/660429
BUGZILLA (660431): http://bugzilla.redhat.com/660431
BUGZILLA (660435): http://bugzilla.redhat.com/660435
BUGZILLA (660438): http://bugzilla.redhat.com/660438
BUGZILLA (660439): http://bugzilla.redhat.com/660439

Источник: CVE
Наименование: CVE-2010-3777
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3777

Источник: CVE
Наименование: CVE-2010-3766
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3766

Источник: CVE
Наименование: CVE-2010-3767
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3767

Источник: CVE
Наименование: CVE-2010-3768
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3768

Источник: CVE
Наименование: CVE-2010-3770
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3770

Источник: CVE
Наименование: CVE-2010-3771
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3771

Источник: CVE
Наименование: CVE-2010-3772
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3772

Источник: CVE
Наименование: CVE-2010-3773
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3773

Источник: CVE
Наименование: CVE-2010-3774
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3774

Источник: CVE
Наименование: CVE-2010-3775
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3775

Источник: CVE
Наименование: CVE-2010-3776
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3776