|
CERT Advisory CA-2006-25 (Technical Cyber Security Alert TA06-208)
Mozilla Products Contain Multiple Vulnerabilities
ต้นฉบับ : http://www.us-cert.gov/cas/techalerts/TA06-208A.html
เรียบเรียงโดย : ภัทราวดี เหมทานนท์
ระบบที่ได้รับผลกระทบ
- Mozilla SeaMonkey
- Mozilla Firefox
- Mozilla Thunderbird
ผลิตภัณฑ์ที่มีส่วนประกอบของ Mozilla โดยเฉพาะ Gecko อาจได้รับผลกระทบนี้ด้วย
กล่าวโดยทั่วไป
เว็บบราวเซอร์ Mozilla และผลิตภัณฑ์ของ Mozilla มีช่องโหว่หลายช่องโหว่ ช่องโหว่ร้ายแรงส่วนใหญ่อนุญาตให้ผู้บุกรุกสามารถรันโปรแกรมได้จากระยะไกลบนระบบที่ได้รับผลกระทบ
I. คำอธิบาย
มีรายงานช่องโหว่หลายช่องโหว่ของเว็บบราวเซอร์ Mozilla และผลิตภัณฑ์ของ Mozilla ซึ่งสามารถอ่านรายละเอียดเพิ่มเติมจาก individual vulnerability notes ซึ่งประกอบด้วย
VU#476724 Mozilla products fail to properly handle frame references
ผลิตภัณฑ์ Mozilla ไม่สามารถควบคุม Frame หรือ Window Reference ของ JavaScript ได้ อย่างเหมาะสม ช่องโหว่นี้อนุญาตให้ผู้บุกรุกสามารถ ประมวลผลได้จากระยะไกลบนระบบที่ได้รับผลกระทบ
( CVE-2006-3801 )
VU#670060 Mozilla fails to properly release JavaScript references
ผลิตภัณฑ์ Mozilla ไม่สามารถคืนหน่วยความจำ ของ JavaScript ได้อย่างเหมาะสม ช่องโหว่นี้อนุญาตให้ผู้บุกรุกสามารถประมวลผลได้จากระยะไกลบนระบบที่ได้รับผลกระทบ
( CVE-2006-3677)
VU#239124 Mozilla fails to properly handle simultaneous XPCOM events
ผลิตภัณฑ์ Mozilla เป็นช่องโหว่ต่อ Memory Corruption ในอีเวนต์ XPCOM ช่องโหว่นี้อนุญาตให้ผู้บุกรุกสามารถประมวลผลได้จากระยะไกลบนระบบที่ได้รับผลกระทบ
( CVE-2006-3113)
VU#265964 Mozilla products contain a race condition
ผลิตภัณฑ์ Mozilla มี Race Condition ใน Garbage Collector ของ Java Script ช่องโหว่นี้อนุญาตให้ผู้บุกรุกสามารถประมวลผลได้จากระยะไกลบนระบบที่ได้รับผลกระทบ
( CVE-2006-3803)
VU#897540 Mozilla products VCard attachment buffer overflow
ผลิตภัณฑ์ Mozilla ไม่สามารถจัดการกับ Malformed VCard Attachments ได้อย่างเหมาะสม ทำให้เกิดการล้นของหน่วยความจำขึ้น ช่องโหว่ นี้อนุญาตให้ผู้บุกรุกสามารถประมวลผลได้จากระยะไกลบนระบบที่ได้รับผลกระทบ
( CVE-2006-3804)
VU# 876420 Mozilla fails to properly handle garbage collection
เอ็นจิน JavaScript ของ Mozilla ไม่สามารถจัดการกับ Garbage Collection ได้อย่างเหมาะสม ซึ่งอาจอนุญาตให้ผู้บุกรุกสามารถประมวลผลได้จากระยะไกลบนระบบที่ได้รับผลกระทบ
( CVE-2006-3805)
VU#655892 Mozilla JavaScript engine contains multiple integer overflows
เอ็นจิน JavaScript ของ Mozilla มี Multiple Integer Overflows ช่องโหว่ นี้อนุญาตให้ผู้บุกรุกสามารถประมวลผลได้จากระยะไกลบนระบบที่ได้รับผลกระทบ
( CVE-2006-3806)
VU#687396 Mozilla products fail to properly validate JavaScript constructors
ผลิตภัณฑ์ Mozilla ไม่สามารถตรวจสอบค่าส่งคืน( Return) โดย JavaScript Constructors ได้อย่างเหมาะสม ช่องโหว่ นี้อนุญาตให้ผู้บุกรุกสามารถประมวลผลได้จากระยะไกลบนระบบที่ได้รับผลกระทบ
( CVE-2006-3807)
VU#527676 Mozilla contains multiple memory corruption vulnerabilities
ผลิตภัณฑ์ Mozilla มีช่องโหว่หลายช่องโหว่ที่เป็นต้นเหตุให้เกิด memory corruption ช่องโหว่ นี้อนุญาตให้ผู้บุกรุกสามารถประมวลผลได้จากระยะไกลบนระบบที่ได้รับผลกระทบ
( CVE-2006-3811)
II. ผลกระทบ
การติดต่อแบบระยะไกล ผู้บุกรุกที่ไม่ได้รับการพิสูจน์ตัวตนสามารถประมวลผลได้จากระยะไกลบนระบบที่ได้รับผลกระทบ และยังเป็นต้นเหตุให้แอพลิเคชันที่มีช่องโหว่เสียหาย
III. วิธีแก้ไข
อัพเกรด
อัพเกรดโปรแกรมเป็น Mozilla Firefox 1.5.0. 5 , Mozilla Thunderbird 1.5.0. 5 หรือ SeaMonkey 1.0. 3.
ยกเลิกการใช้งาน JavaScript (Disable JavaScript)
สามารถระงับการเกิดช่องโหว่นี้ได้โดยการยกเลิกการใช้งาน JavaScript และ Java ในผลิตภัณฑ์ที่ได้รับผลกระทบ สามารถอ่านคำแนะนำในการยกเลิกการใช้งาน Java ใน Firefox ได้จากเอกสาร " Securing Your Web Browser"
Appendix A. References
|
