scip AG

• Firma
• News
• Dienstleistungen
• Publikationen

VulDB: Mozilla Firefox unspezifierte Memory Corruption

Allgemein

scipID: 3404
Betroffen: Mozilla Firefox bis 2.0.8
Veröffentlicht: 19.10.2007 (L. David Baron, Boris Zbarsky, Georgi Guninski, Paul Nickerson Olli Pettay, Jesse Ruderman, Vladimir Sukhoy, Daniel Veditz, and Martijn Wargers)
Risiko: kritisch

Beschreibung

Mozilla Firefox ist ein aus dem Mozilla-Projekt hervorgegangener freier Webbrowser, der weltweit steigende Verbreitung geniesst. In den Versionen vor 2.0.8 wurden verschiedenene Schwachstellen identifiziert. Die vorliegende Schwäche erlaubt es, gemäss L. David Baron, Boris Zbarsky, Georgi Guninski, Paul Nickerson, Olli Pettay, Jesse Ruderman, Vladimir Sukhoy, Daniel Veditz und Martijn Wargers, mittels eines unspezifzierten Fehlers beliebigen Code zur Ausführugn zu bringen. Weitere Details zur Schwachstelle sind leider nicht bekannt.

Eine hohe Verbreitungsrate führt auch dazu, dass tendentiell mehr Schwachstellen von Angreifern, wie auch von Researchern entdeckt und untersucht werden. Das muss das Projektteam von Mozilla auch diesen Monat wieder zur Kenntnis nehmen, zumal im Update auf Version 2.0.8 wiederum sieben Schwachstellen geschlossen werden, die grundsätzlich als kritisch angesehen werden müssen. Für Benutzer, wie auch Unternehmen, die Firefox einsetzen ist das entsprechende Update Pflicht und sollte baldmöglichst eingespielt werden.

Exploiting

Klasse: Pufferüberlauf
Lokal: Ja
Remote: Ja

Exploit: –
Milw0rm: –
Nessus: 27552 (Name: FreeBSD : firefox — OnUnload Javascript browser entrapment vulnerability (2368)
ATK: –

Gegenmassnahmen

Status: Es wurde ein Patch herausgegeben.
Bestätigung: http://www.mozilla.org/security/announce/2007/mfsa2007-30.html

Massnahme: Ein Upgrade auf die aktuellste Software-Version durchführen.
Link: http://www.mozilla.org/security/announce/2007/mfsa2007-29.html

Snort: –
Pattern: –

Quellen

Advisory: http://www.mozilla.org/security/announce/2007/mfsa2007-29.html

CVE: CVE-2007-1095
OSVDB: 33809
Securityfocus: 22688
Secunia: 28398
X-Force: –
Securitytracker: –
VUPEN: ADV-2007-3587
Securiteam: –

Tecchannel: –
Heise: –
smSS: smSS 19. November 2007
Buchtipp: Anonymous (2001), Der neue Linux Hacker’s Guide, Markt+Technik, ISBN 3827260981 (amazon.de)

Übersicht Schwachstellen

• Letzte Einträge
  • Cisco IOS TCP Connection Handling Denial of Service
  • Adobe ColdFusion Directory Traversal Schwachstelle
  • Microsoft Windows Tracing Feature for Services Privilege Escalation
  • Microsoft Windows MPEG Layer-3 Audio Decoder Pufferüberlauf
  • Microsoft Windows SMB Server verschiedene Schwachstellen
• Statistiken
  • Übersicht
  • Produkte
  • Reference Maps
• Archiv
  • 2010
  • 2009
  • 2008
  • 2007
  • 2006
  • 2005
  • 2004
  • 2003
• Syndication
  • Alert System
  • RSS
  • Twitter