ThaiCERT : Advisories & Alerts : CERT : CA-2006-20

Home >> Advisories & Alerts << Security Bulletins || เอกสารเผยแพร่ || เครื่องมือ || บริการ || FAQ. || เกี่ยวกับ ThaiCERT

Advisories & Alerts
CERT Advisory
Alert

CERT Advisory CA-2006-20 (Technical Cyber Security Alert TA06-153A )
Mozilla Products Contain Multiple Vulnerabilities
ต้นฉบับ : http://www.us-cert.gov/cas/techalerts/TA06-153A.html
เรียบเรียงโดย : ภัทราวดี เหมทานนท์

ระบบที่ได้รับผลกระทบ

Mozilla SeaMonkey
Firefox web browser
Thunderbird email client
ผลิตภัณฑ์ที่มีส่วนประกอบของ Mozilla โดยเฉพาะ Gecko อาจได้รับผลกระทบนี้ด้วย

กล่าวโดยทั่วไป

เว็บบราวเซอร์ Mozilla และผลิตภัณฑ์ของ Mozilla มีช่องโหว่หลายช่องโหว่ ช่องโหว่ร้ายแรงส่วนใหญ่ยอมให้ผู้บุกรุกสามารถรันโปรแกรมได้จากระยะไกลบนระบบที่ได้รับผลกระทบ

I. คำอธิบาย

มีรายงานช่องโหว่หลายช่องโหว่ของเว็บบราวเซอร์ Mozilla และผลิตภัณฑ์ของ Mozilla ซึ่งสามารถอ่านรายละเอียดเพิ่มเติมจาก individual vulnerability notesซึ่งประกอบด้วย

VU#237257- Mozilla privilege escalation using addSelectionListener
ช่องโหว่ที่สามารถเพิ่มหรือไม่ใช้ระดับสิทธิเดิมของบราวเซอร์ในส่วนการประมวลผล addSelectionListener และยอมให้ผู้บุกรุกสามารถสั่งรันโปรแกรมจากระยะไกลได้

VU#421529- Mozilla contains a buffer overflow vulnerability in crypto.signText()
ผลิตภัณฑ์ของ Mozilla มีช่องโหว่ประเภทหน่วยความจำล้นในส่วนการประมวลผล cryto.signText() ช่องโหว่นี้ยอมให้ผู้บุกรุกสามารถสั่งรันโปรแกรมจากระยะไกลได้

VU#575969- Mozilla may process content-defined setters on object prototypes with elevated privileges
Mozilla ยอมให้สามารถกำหนดคุณสมบัติของออบเจ็กได้เองรวมถึงกำหนดให้ทำงานในระดับสิทธิที่ต้องการรวมถึงยอมให้ผู้บุกรุกสามารถสั่งรันโปรแกรมจากระยะไกลได้

VU#243153- Mozilla may associate persisted XUL attributes with an incorrect URL
Mozilla ยังอนุญาตให้แอตทริบิวต์บน XUL สามารถเชื่อมโยงไปที่ URL นอกเหนือจากที่กำหนดไว้ตอนเริ่มต้นได้ และยอมให้ผู้บุกรุกสามารถสั่งรันโปรแกรมจากระยะไกลได้ผ่าน URL ที่กำหนดใหม่ขึ้นผ่าน XUL

VU#466673- Mozilla contains multiple memory corruption vulnerabilities
พบว่ามีช่องโหว่ที่ใช้ประโยชน์จากหน่วยความจำล้นที่ก่อให้เกิดความพยายามในการเขียนข้อมูลในหน่วยความจำนอกเหนือจากที่กำหนดบนผลิตภัณฑ์ Mozilla หลายช่องโหว่ ส่งผลให้ผู้บุกรุกสามารถสั่งรันโปรแกรมจากระยะไกลได้

II. ผลกระทบ

ผลกระทบส่วนใหญ่ของช่องโหว่นี้ยอมให้ผู้บุกรุกสั่งรันโปรแกรมได้จากระยะไกลด้วยสิทธิของผู้ที่ใช้งานโปรแกรมที่ได้รับผลกระทบอยู่ ผลกระทบอื่นได้แก่ทำให้ระบบไม่สามารถให้บริการได้หรือข้อมูลสำคัญถูกเปิดเผย

III วิธีแก้ไข

อัพเกรด
อัพเกรดโปรแกรมเป็น Mozilla Firefox 1.5.0.4, Mozilla Thunderbird 1.5.0.4 หรือ SeaMonkey 1.0.2.

ยกเลิกการใช้งาน JavaScript (Disable JavaScript)
สามารถระงับการเกิดช่องโหว่นี้ได้โดยการยกเลิกการใช้งาน JavaScript

Appendix A. References

US-CERT Vulnerability Note VU#237257 - <http://www.kb.cert.org/vuls/id/237257>
US-CERT Vulnerability Note VU#421529 - <http://www.kb.cert.org/vuls/id/421529>
US-CERT Vulnerability Note VU#575969 - <http://www.kb.cert.org/vuls/id/575969>
US-CERT Vulnerability Note VU#243153 - <http://www.kb.cert.org/vuls/id/243153>
US-CERT Vulnerability Note VU#466673 - <http://www.kb.cert.org/vuls/id/466673>
Mozilla Foundation Security Advisories - <http://www.mozilla.org/security/announce/>
US-CERT Vulnerability Notes Related to June Mozilla Security Advisories - <http://www.kb.cert.org/vuls/byid?searchview&query=firefox_1504>
Mozilla Foundation Security Advisories - <http://www.mozilla.org/projects/security/known-vulnerabilities.html>
Firefox - Rediscover the Web - <http://www.mozilla.com/firefox/>
Thunderbird - Reclaim your inbox - <http://www.mozilla.com/thunderbird/>
The SeaMonkey Project - <http://www.mozilla.org/projects/seamonkey/>
Securing Your Web Browser - <http://www.us-cert.gov/reading_room/securing_browser/browser_security.html#Mozilla_Firefox>

หากท่านพบเห็นข้อผิดพลาดหรือมีคำแนะนำ โปรดส่งข้อความของท่านมาที่ thaicert@nectec.or.th ท่านสามารถดาวน์โหลด PGP Public Key ของ ThaiCERT ได้ ในกรณีที่ต้องการเข้ารหัสอี-เมล์