Firefox 3.5 эмзэг байдал илэрлээ

КДТТ-MonCIRT-ийн эмзэг байдал, цоорхой, сул талын тухай анхааруулга 

CMVN-2009-090

Mozilla firefox 3.5-ийн ‘TraceMonkey’ JavaScript болон HTML Element Processing Arbitrary Code Execution алдаатай бөгөөд эмзэг байдал илэрлээ.

Аюулын зэрэг: өндөр

Хамааралтай систем:

• Mozilla Firefox version 3.5.0
• Mozilla XULRunner 1.9
• Mozilla XULRunner 1.9.1
• Mozilla XULRunner 1.9.1.1
• RedHat Fedora 11

Тойм

Mozilla Firefox-н JavaScript алдааг ашиглан зайнаас халдах боломжтой байна.

Тодорхойлолт

HTML тагийн шрифтэд JavaScript код боловсруулах үед гарч буй алдаанаас энэ эмзэг байдал үүсэж байна. Халдагч энэ эмзэг байдлыг ашиглан хортой веб сайтад орохыг хэрэглэгчид итгүүлэх боломжтой. Халдагч хэрэглэгчийн эрхийг ашиглан код хэрэгжүүлэх боломжтой. Амжилтгүй довтолгоон үйлдсэн тохиолдолд үйлчилгээ бусниулах (DoS) хэлбэрт орж хэрэглэгч броузераа ашиглах боломжгүй болно.

Mozilla firefox 3.5 –н энэхүү алдаа нь Microsoft Windows XP SP2-ыг гэмтээгээд байгаа бөгөөд Microsoft Windows XP SP3-ыг эрсдэлд оруулж байна. Мөн Firefox-н энэ алдаа нь Apple Mac OS X –д халдаж болохуйц байна.

Шийдэл

• About:config-с "javascript.options.jit.content"ний утгыг “false” болго.
• Location bar дээр about:config гэж бич.
• Config editor дотроос jit-г хайж ол .
• Double-click дарж javascript.options.jit-н утгыг false болго.
• Version 3.5.1-г татаж авч суулгана
• NoScript хэрэглэ. https://addons.mozilla.org/en-US/firefox/addon/722

Mozilla-гийн мэдээлэл

http://www.mozilla.org/security/announce/

Ишлэлүүд:

Mozilla
http://blog.mozilla.com/security/2009/07/14/critical-javascript-vulnerability-in-firefox-35/

SecurityFocus
http://www.securityfocus.com/bid/35660/

Secunia
http://secunia.com/advisories/35798/

Juniper Networks
http://www.juniper.net/security/auto/vulnerabilities/vuln35660.html

CVE Name
CVE-2009-2477

Холбоо барих

Email: info@moncirt.org.mn

Утас: 976-11- 70113151

 2009.08.13