• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Бюллетень безопасности RHSA-2011:0310-01

Главная Специалистам База уязвимостей Бюллетень безопасности RHSA-2011:0310-01

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:C/I:C/A:C)
Производитель ПО
Наименование ПО
firefox (any) xulrunner (any) xulrunner-devel (any)
Описание
Mozilla Firefox - это свободно распространяемый веб-браузер.
Ошибка обнаружена в Firefox при проверке HTML-контента в расширениях. Если расширение загружает или генерирует вредоносный контент с помощью класса ParanoidFragmentSink, то этот контент не может быть безопасно отображен, что позволяет выполнить произвольный JavaScript-код с привилегиями пользователя, который запустил Firefox. (CVE-2010-1585)
Ошибка обнаружена в Firefox при обработке диалогов. Злоумышленник может использовать данную уязвимость, чтобы создать специально сформированную веб-страницу, которая будет содержать пустое диалоговое окно с нефункционирующими кнопками. Если пользователь закроет это окно, то вредоносная веб-страница получит дополнительные привилегии. (CVE-2011-0051)
Ошибки обнаружены при обработке вредоносного контента. Веб-страница, содержащая вредоносный контент, может вызвать аварийное завершение работы Firefox или позволит выполнить произвольный код с привилегиями пользователя, который запустил Firefox. (CVE-2011-0053, CVE-2011-0055, CVE-2011-0058, CVE-2011-0062)
Уязвимость обнаружена в Firefox при обработке вредоносного JavaScript-кода. Веб-сайт с объектом, который содержит вредоносный JavaScript-код, может заставить Firefox выполнить этот JavaScript-код с привилегиями пользователя, который запустил Firefox. (CVE-2011-0054, CVE-2011-0056, CVE-2011-0057)
Ошибка обнаружена в Firefox при обработке специально сформированного JPEG-сообщения. Веб-сайт, содержащий вредоносное JPEG-изображение, может вызвать аварийное завершение работы Firefox или позволит выполнить произвольный код с привилегиями пользователя, который запустил Firefox. (CVE-2011-0061)
Ошибка обнаружена в Firefox при обработке плагинов, которые выполняют HTTP-запросы. Если плагин выполняет HTTP-запрос, и сервер возвращает ответ 307 redirect, плагин не получает уведомление, и HTTP-запрос перенаправляется. Такой перенаправленный запрос может содержать пользовательские заголовки, что позволяет провести атаку подмены запроса. (CVE-2011-0059)
Технические подробности, связанные с данной уязвимостью, представлены в бюллетенях безопасности Mozilla для Firefox 3.6.14.
Данное обновление также исправляет следующую ошибку:
* В Red Hat Enterprise Linux 4 и 5 запуск команды "firefox-setDefaultBrowser" приводит к следующему предупреждению:
libgnomevfs-WARNING **: Deprecated function.  User modifications to the MIME database are no longer supported.
Данное обновление отключает опцию "setDefaultBrowser". Пользователям Red Hat Enterprise Linux 4, которые хотят установить браузер по умолчанию, следует воспользоваться меню Applications -> Preferences -> More Preferences -> Preferred Applications. Для пользователей Red Hat Enterprise Linux 5 - System -> Preferences -> Preferred Applications. (BZ#463131, BZ#665031)
Всем пользователям Firefox рекомендуется обновить программное обеспечение версии 3.6.14, чтобы избавиться от указанной проблемы. После установки обновления необходимо перезапустить Firefox, чтобы изменения вступили в силу.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
https://rhn.redhat.com/errata/RHSA-2011-0310.html
Ссылки
https://rhn.redhat.com/errata/RHSA-2011-0310.html
CVE (CVE-2010-1585): https://www.redhat.com/security/data/cve/CVE-2010-1585.html
CVE (CVE-2011-0051): https://www.redhat.com/security/data/cve/CVE-2011-0051.html
CVE (CVE-2011-0053): https://www.redhat.com/security/data/cve/CVE-2011-0053.html
CVE (CVE-2011-0054): https://www.redhat.com/security/data/cve/CVE-2011-0054.html
CVE (CVE-2011-0055): https://www.redhat.com/security/data/cve/CVE-2011-0055.html
CVE (CVE-2011-0056): https://www.redhat.com/security/data/cve/CVE-2011-0056.html
CVE (CVE-2011-0057): https://www.redhat.com/security/data/cve/CVE-2011-0057.html
CVE (CVE-2011-0058): https://www.redhat.com/security/data/cve/CVE-2011-0058.html
CVE (CVE-2011-0059): https://www.redhat.com/security/data/cve/CVE-2011-0059.html
CVE (CVE-2011-0061): https://www.redhat.com/security/data/cve/CVE-2011-0061.html
CVE (CVE-2011-0062): https://www.redhat.com/security/data/cve/CVE-2011-0062.html
BUGZILLA (463131): http://bugzilla.redhat.com/463131
BUGZILLA (665031): http://bugzilla.redhat.com/665031
BUGZILLA (675082): http://bugzilla.redhat.com/675082
BUGZILLA (675083): http://bugzilla.redhat.com/675083
BUGZILLA (675087): http://bugzilla.redhat.com/675087
BUGZILLA (675090): http://bugzilla.redhat.com/675090
BUGZILLA (675091): http://bugzilla.redhat.com/675091
BUGZILLA (675092): http://bugzilla.redhat.com/675092
BUGZILLA (675093): http://bugzilla.redhat.com/675093
BUGZILLA (675094): http://bugzilla.redhat.com/675094
BUGZILLA (675095): http://bugzilla.redhat.com/675095
BUGZILLA (675143): http://bugzilla.redhat.com/675143
BUGZILLA (681369): http://bugzilla.redhat.com/681369

Источник: CVE
Наименование: CVE-2011-0062
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0062

Источник: CVE
Наименование: CVE-2010-1585
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1585

Источник: CVE
Наименование: CVE-2011-0051
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0051

Источник: CVE
Наименование: CVE-2011-0053
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0053

Источник: CVE
Наименование: CVE-2011-0054
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0054

Источник: CVE
Наименование: CVE-2011-0055
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0055

Источник: CVE
Наименование: CVE-2011-0056
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0056

Источник: CVE
Наименование: CVE-2011-0057
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0057

Источник: CVE
Наименование: CVE-2011-0058
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0058

Источник: CVE
Наименование: CVE-2011-0059
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0059

Источник: CVE
Наименование: CVE-2011-0061
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0061