Błędy w przeglądarkach Mozilli, Firefox i kliencie pocztowym Thunderbird
Jak poinformowało US-Cert w przeglądarkach Mozilli, Firefox i kliencie pocztowym Thunderbird wykryto błędy które umożliwiają zdalne wykonywanie kodu z przywilejami użytkownika uruchamiającego program.
W kliencie pocztowym Mozilla Mail, poprzez wysłanie odpowiedniego kodu dołączonego do VCard można doprowadzić do przepełnienia funkcji writeGroup() co umożliwi atakującemu na wykonanie przesłanego kodu po stronie komputera ofiary.
Kolejny błąd dotyczy przekroczenia zakresu liczb całkowitych podczas przetwarzania plików graficznych BMP oraz JPEG. Również podczas konwersji nazwy hosta w adresie URL czy też liczne błędy w protokole Mozilla POP3 pozwalają na przepełnienie odpowiednich funkcji i wywołania dowolnego kodu. Jednak to nie koniec błędów. W funkcji odpowiadającej za wysyłanie strony (send page) oraz przenoszenia linków (link dragging) również występują błędy.
A zatem widać, że oferta Mozilla Foundation która oferuje 500 dolarów nagrody każdemu, kto zgłosi poważny błąd dotyczący bezpieczeństwa w programach z rodziny Mozilla zaczyna kiełkować.
Powyższe błędy zostały już poprawione a zatem zaleca się pobranie nowszych wersji oprogramowania.
Zobacz również:
– Mozilla i Netscape podatne na przejęcie kontroli
– Mozilla i Firefox podatne na atak
– Błąd w Mozilli