Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:C/I:C/A:C)
Производитель ПО
Наименование ПО
Описание
Mozilla Firefox - это свободно распространяемый веб-браузер.
Ошибка обнаружена в Firefox при проверке HTML-контента в расширениях. Если расширение загружает или генерирует вредоносный контент с помощью класса ParanoidFragmentSink, то этот контент не может быть безопасно отображен, что позволяет выполнить произвольный JavaScript-код с привилегиями пользователя, который запустил Firefox. (CVE-2010-1585)
Ошибка обнаружена в Firefox при обработке диалогов. Злоумышленник может использовать данную уязвимость, чтобы создать специально сформированную веб-страницу, которая будет содержать пустое диалоговое окно с нефункционирующими кнопками. Если пользователь закроет это окно, то вредоносная веб-страница получит дополнительные привилегии. (CVE-2011-0051)
Ошибки обнаружены при обработке вредоносного контента. Веб-страница, содержащая вредоносный контент, может вызвать аварийное завершение работы Firefox или позволит выполнить произвольный код с привилегиями пользователя, который запустил Firefox. (CVE-2011-0053, CVE-2011-0055, CVE-2011-0058, CVE-2011-0062)
Уязвимость обнаружена в Firefox при обработке вредоносного JavaScript-кода. Веб-сайт с объектом, который содержит вредоносный JavaScript-код, может заставить Firefox выполнить этот JavaScript-код с привилегиями пользователя, который запустил Firefox. (CVE-2011-0054, CVE-2011-0056, CVE-2011-0057)
Ошибка обнаружена в Firefox при обработке специально сформированного JPEG-сообщения. Веб-сайт, содержащий вредоносное JPEG-изображение, может вызвать аварийное завершение работы Firefox или позволит выполнить произвольный код с привилегиями пользователя, который запустил Firefox. (CVE-2011-0061)
Ошибка обнаружена в Firefox при обработке плагинов, которые выполняют HTTP-запросы. Если плагин выполняет HTTP-запрос, и сервер возвращает ответ 307 redirect, плагин не получает уведомление, и HTTP-запрос перенаправляется. Такой перенаправленный запрос может содержать пользовательские заголовки, что позволяет провести атаку подмены запроса. (CVE-2011-0059)
Технические подробности, связанные с данной уязвимостью, представлены в бюллетенях безопасности Mozilla для Firefox 3.6.14.
Данное обновление также исправляет следующую ошибку:
* В Red Hat Enterprise Linux 4 и 5 запуск команды "firefox-setDefaultBrowser" приводит к следующему предупреждению:
libgnomevfs-WARNING **: Deprecated function. User modifications to the MIME database are no longer supported.
Данное обновление отключает опцию "setDefaultBrowser". Пользователям Red Hat Enterprise Linux 4, которые хотят установить браузер по умолчанию, следует воспользоваться меню Applications -> Preferences -> More Preferences -> Preferred Applications. Для пользователей Red Hat Enterprise Linux 5 - System -> Preferences -> Preferred Applications. (BZ#463131, BZ#665031)
Всем пользователям Firefox рекомендуется обновить программное обеспечение версии 3.6.14, чтобы избавиться от указанной проблемы. После установки обновления необходимо перезапустить Firefox, чтобы изменения вступили в силу.
Ошибка обнаружена в Firefox при проверке HTML-контента в расширениях. Если расширение загружает или генерирует вредоносный контент с помощью класса ParanoidFragmentSink, то этот контент не может быть безопасно отображен, что позволяет выполнить произвольный JavaScript-код с привилегиями пользователя, который запустил Firefox. (CVE-2010-1585)
Ошибка обнаружена в Firefox при обработке диалогов. Злоумышленник может использовать данную уязвимость, чтобы создать специально сформированную веб-страницу, которая будет содержать пустое диалоговое окно с нефункционирующими кнопками. Если пользователь закроет это окно, то вредоносная веб-страница получит дополнительные привилегии. (CVE-2011-0051)
Ошибки обнаружены при обработке вредоносного контента. Веб-страница, содержащая вредоносный контент, может вызвать аварийное завершение работы Firefox или позволит выполнить произвольный код с привилегиями пользователя, который запустил Firefox. (CVE-2011-0053, CVE-2011-0055, CVE-2011-0058, CVE-2011-0062)
Уязвимость обнаружена в Firefox при обработке вредоносного JavaScript-кода. Веб-сайт с объектом, который содержит вредоносный JavaScript-код, может заставить Firefox выполнить этот JavaScript-код с привилегиями пользователя, который запустил Firefox. (CVE-2011-0054, CVE-2011-0056, CVE-2011-0057)
Ошибка обнаружена в Firefox при обработке специально сформированного JPEG-сообщения. Веб-сайт, содержащий вредоносное JPEG-изображение, может вызвать аварийное завершение работы Firefox или позволит выполнить произвольный код с привилегиями пользователя, который запустил Firefox. (CVE-2011-0061)
Ошибка обнаружена в Firefox при обработке плагинов, которые выполняют HTTP-запросы. Если плагин выполняет HTTP-запрос, и сервер возвращает ответ 307 redirect, плагин не получает уведомление, и HTTP-запрос перенаправляется. Такой перенаправленный запрос может содержать пользовательские заголовки, что позволяет провести атаку подмены запроса. (CVE-2011-0059)
Технические подробности, связанные с данной уязвимостью, представлены в бюллетенях безопасности Mozilla для Firefox 3.6.14.
Данное обновление также исправляет следующую ошибку:
* В Red Hat Enterprise Linux 4 и 5 запуск команды "firefox-setDefaultBrowser" приводит к следующему предупреждению:
libgnomevfs-WARNING **: Deprecated function. User modifications to the MIME database are no longer supported.
Данное обновление отключает опцию "setDefaultBrowser". Пользователям Red Hat Enterprise Linux 4, которые хотят установить браузер по умолчанию, следует воспользоваться меню Applications -> Preferences -> More Preferences -> Preferred Applications. Для пользователей Red Hat Enterprise Linux 5 - System -> Preferences -> Preferred Applications. (BZ#463131, BZ#665031)
Всем пользователям Firefox рекомендуется обновить программное обеспечение версии 3.6.14, чтобы избавиться от указанной проблемы. После установки обновления необходимо перезапустить Firefox, чтобы изменения вступили в силу.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
https://rhn.redhat.com/errata/RHSA-2011-0310.html
https://rhn.redhat.com/errata/RHSA-2011-0310.html
Ссылки
https://rhn.redhat.com/errata/RHSA-2011-0310.html
CVE (CVE-2010-1585): https://www.redhat.com/security/data/cve/CVE-2010-1585.html
CVE (CVE-2011-0051): https://www.redhat.com/security/data/cve/CVE-2011-0051.html
CVE (CVE-2011-0053): https://www.redhat.com/security/data/cve/CVE-2011-0053.html
CVE (CVE-2011-0054): https://www.redhat.com/security/data/cve/CVE-2011-0054.html
CVE (CVE-2011-0055): https://www.redhat.com/security/data/cve/CVE-2011-0055.html
CVE (CVE-2011-0056): https://www.redhat.com/security/data/cve/CVE-2011-0056.html
CVE (CVE-2011-0057): https://www.redhat.com/security/data/cve/CVE-2011-0057.html
CVE (CVE-2011-0058): https://www.redhat.com/security/data/cve/CVE-2011-0058.html
CVE (CVE-2011-0059): https://www.redhat.com/security/data/cve/CVE-2011-0059.html
CVE (CVE-2011-0061): https://www.redhat.com/security/data/cve/CVE-2011-0061.html
CVE (CVE-2011-0062): https://www.redhat.com/security/data/cve/CVE-2011-0062.html
BUGZILLA (463131): http://bugzilla.redhat.com/463131
BUGZILLA (665031): http://bugzilla.redhat.com/665031
BUGZILLA (675082): http://bugzilla.redhat.com/675082
BUGZILLA (675083): http://bugzilla.redhat.com/675083
BUGZILLA (675087): http://bugzilla.redhat.com/675087
BUGZILLA (675090): http://bugzilla.redhat.com/675090
BUGZILLA (675091): http://bugzilla.redhat.com/675091
BUGZILLA (675092): http://bugzilla.redhat.com/675092
BUGZILLA (675093): http://bugzilla.redhat.com/675093
BUGZILLA (675094): http://bugzilla.redhat.com/675094
BUGZILLA (675095): http://bugzilla.redhat.com/675095
BUGZILLA (675143): http://bugzilla.redhat.com/675143
BUGZILLA (681369): http://bugzilla.redhat.com/681369
Источник: CVE
Наименование: CVE-2011-0062
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0062
Источник: CVE
Наименование: CVE-2010-1585
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1585
Источник: CVE
Наименование: CVE-2011-0051
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0051
Источник: CVE
Наименование: CVE-2011-0053
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0053
Источник: CVE
Наименование: CVE-2011-0054
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0054
Источник: CVE
Наименование: CVE-2011-0055
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0055
Источник: CVE
Наименование: CVE-2011-0056
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0056
Источник: CVE
Наименование: CVE-2011-0057
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0057
Источник: CVE
Наименование: CVE-2011-0058
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0058
Источник: CVE
Наименование: CVE-2011-0059
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0059
Источник: CVE
Наименование: CVE-2011-0061
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0061
CVE (CVE-2010-1585): https://www.redhat.com/security/data/cve/CVE-2010-1585.html
CVE (CVE-2011-0051): https://www.redhat.com/security/data/cve/CVE-2011-0051.html
CVE (CVE-2011-0053): https://www.redhat.com/security/data/cve/CVE-2011-0053.html
CVE (CVE-2011-0054): https://www.redhat.com/security/data/cve/CVE-2011-0054.html
CVE (CVE-2011-0055): https://www.redhat.com/security/data/cve/CVE-2011-0055.html
CVE (CVE-2011-0056): https://www.redhat.com/security/data/cve/CVE-2011-0056.html
CVE (CVE-2011-0057): https://www.redhat.com/security/data/cve/CVE-2011-0057.html
CVE (CVE-2011-0058): https://www.redhat.com/security/data/cve/CVE-2011-0058.html
CVE (CVE-2011-0059): https://www.redhat.com/security/data/cve/CVE-2011-0059.html
CVE (CVE-2011-0061): https://www.redhat.com/security/data/cve/CVE-2011-0061.html
CVE (CVE-2011-0062): https://www.redhat.com/security/data/cve/CVE-2011-0062.html
BUGZILLA (463131): http://bugzilla.redhat.com/463131
BUGZILLA (665031): http://bugzilla.redhat.com/665031
BUGZILLA (675082): http://bugzilla.redhat.com/675082
BUGZILLA (675083): http://bugzilla.redhat.com/675083
BUGZILLA (675087): http://bugzilla.redhat.com/675087
BUGZILLA (675090): http://bugzilla.redhat.com/675090
BUGZILLA (675091): http://bugzilla.redhat.com/675091
BUGZILLA (675092): http://bugzilla.redhat.com/675092
BUGZILLA (675093): http://bugzilla.redhat.com/675093
BUGZILLA (675094): http://bugzilla.redhat.com/675094
BUGZILLA (675095): http://bugzilla.redhat.com/675095
BUGZILLA (675143): http://bugzilla.redhat.com/675143
BUGZILLA (681369): http://bugzilla.redhat.com/681369
Источник: CVE
Наименование: CVE-2011-0062
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0062
Источник: CVE
Наименование: CVE-2010-1585
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1585
Источник: CVE
Наименование: CVE-2011-0051
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0051
Источник: CVE
Наименование: CVE-2011-0053
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0053
Источник: CVE
Наименование: CVE-2011-0054
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0054
Источник: CVE
Наименование: CVE-2011-0055
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0055
Источник: CVE
Наименование: CVE-2011-0056
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0056
Источник: CVE
Наименование: CVE-2011-0057
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0057
Источник: CVE
Наименование: CVE-2011-0058
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0058
Источник: CVE
Наименование: CVE-2011-0059
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0059
Источник: CVE
Наименование: CVE-2011-0061
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0061