漏洞信息详情
Mozilla Firefox getRawDER 双重释放漏洞
- CNNVD编号:CNNVD-200606-076
- 危害等级: 中危
- CVE编号: CVE-2006-2788
- 漏洞类型: 缓冲区溢出
- 发布时间: 2006-06-02
- 威胁类型: 远程
- 更新时间: 2006-06-05
- 厂 商: mozilla
- 漏洞来源: moz_bug_r_a4 moz_b...
漏洞简介
Mozilla Firefox 是Mozilla发布的WEB浏览器和邮件新闻组客户端产品。
Firefox nsIX509Cert的getRawDER 功能存在双重释放漏洞,允许远程攻击者通过特定的Javascript代码造成拒绝服务攻击(挂起)和可能执行任意代码。
漏洞公告
临时解决方法:
* 在"连接设置"中选择"直接连接至因特网(默认)"或"手动配置代理";
* 禁用Javascript;
* 在不可信任的站点不要从破损图形的上下文菜单选择"浏览图形";
* 在"查看"菜单中清除选择"查看直接插入的附件",并不要打开任何VCard附件(.vcf扩展名);
* 从Web输入剥离BOM,或指定UTF-8以外的字符编码。
厂商补丁:
Mozilla
-------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.mozilla.org/" target="_blank">
http://www.mozilla.org/
Gentoo
------
Gentoo已经为此发布了一个安全公告(GLSA-200606-12)以及相应补丁:
GLSA-200606-12:Mozilla Firefox: Multiple vulnerabilities
链接:
http://security.gentoo.org/glsa/glsa-200606-12.xml" target="_blank">
http://security.gentoo.org/glsa/glsa-200606-12.xml
所有Mozilla Firefox用户都应升级到最新版本:
# emerge --sync
# emerge --ask --oneshot --verbose ">=www-client/mozilla-Firefox-1.5.0.4"
所有Mozilla Firefox二进制程序用户都应升级到最新版本:
# emerge --sync
# emerge --ask --oneshot --verbose ">=www-client/mozilla-Firefox-bin-1.5.0.4"临时解决方法:
* 在"连接设置"中选择"直接连接至因特网(默认)"或"手动配置代理";
* 禁用Javascript;
* 在不可信任的站点不要从破损图形的上下文菜单选择"浏览图形";
* 在"查看"菜单中清除选择"查看直接插入的附件",并不要打开任何VCard附件(.vcf扩展名);
* 从Web输入剥离BOM,或指定UTF-8以外的字符编码。
厂商补丁:
Mozilla
-------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.mozilla.org/" target="_blank">
http://www.mozilla.org/
Gentoo
------
Gentoo已经为此发布了一个安全公告(GLSA-200606-12)以及相应补丁:
GLSA-200606-12:Mozilla Firefox: Multiple vulnerabilities
链接:
http://security.gentoo.org/glsa/glsa-200606-12.xml" target="_blank">
http://security.gentoo.org/glsa/glsa-200606-12.xml
所有Mozilla Firefox用户都应升级到最新版本:
# emerge --sync
# emerge --ask --oneshot --verbose ">=www-client/mozilla-Firefox-1.5.0.4"
所有Mozilla Firefox二进制程序用户都应升级到最新版本:
# emerge --sync
# emerge --ask --oneshot --verbose ">=www-client/mozilla-Firefox-bin-1.5.0.4"
参考网址
来源: bugzilla.mozilla.org
链接:https://bugzilla.mozilla.org/show_bug.cgi?id=321598
来源: DEBIAN
名称: DSA-1191
链接:http://www.us.debian.org/security/2006/dsa-1191
来源: UBUNTU
名称: USN-296-1
链接:http://www.ubuntulinux.org/support/documentation/usn/usn-296-1
来源: UBUNTU
名称: USN-361-1
链接:http://www.ubuntu.com/usn/usn-361-1
来源: REDHAT
名称: RHSA-2006:0611
链接:http://www.redhat.com/support/errata/RHSA-2006-0611.HTML
来源: REDHAT
名称: RHSA-2006:0610
链接:http://www.redhat.com/support/errata/RHSA-2006-0610.HTML
来源: REDHAT
名称: RHSA-2006:0594
链接:http://www.redhat.com/support/errata/RHSA-2006-0594.HTML
来源: REDHAT
名称: RHSA-2006:0578
链接:http://www.redhat.com/support/errata/RHSA-2006-0578.HTML
来源: MANDRIVA
名称: MDKSA-2006:145
链接:http://www.mandriva.com/security/advisories?name=MDKSA-2006:145
来源: MANDRIVA
名称: MDKSA-2006:143
链接:http://www.mandriva.com/security/advisories?name=MDKSA-2006:143
来源: DEBIAN
名称: DSA-1210
链接:http://www.debian.org/security/2006/dsa-1210
来源: DEBIAN
名称: DSA-1192
链接:http://www.debian.org/security/2006/dsa-1192
来源: SECUNIA
名称: 22849
链接:http://secunia.com/advisories/22849
来源: SECUNIA
名称: 22342
链接:http://secunia.com/advisories/22342
来源: SECUNIA
名称: 22299
链接:http://secunia.com/advisories/22299
来源: SECUNIA
名称: 22247
链接:http://secunia.com/advisories/22247
来源: SECUNIA
名称: 21631
链接:http://secunia.com/advisories/21631
来源: SECUNIA
名称: 21532
链接:http://secunia.com/advisories/21532
来源: SECUNIA
名称: 21336
链接:http://secunia.com/advisories/21336
来源: SECUNIA
名称: 21270
链接:http://secunia.com/advisories/21270
来源: SECUNIA
名称: 21269
链接:http://secunia.com/advisories/21269
来源: REDHAT
名称: RHSA-2006:0609
链接:http://rhn.redhat.com/errata/RHSA-2006-0609.HTML
来源: MANDRIVA
名称: MDKSA-2006:145
链接:http://frontal2.mandriva.com/security/advisories?name=MDKSA-2006:145
来源: MANDRIVA
名称: MDKSA-2006:143
链接:http://frontal2.mandriva.com/security/advisories?name=MDKSA-2006:143
受影响实体
- Mozilla Firefox:Preview_release
- Mozilla Firefox:1.5.0.3
- Mozilla Firefox:1.5.0.2
- Mozilla Firefox:1.5.0.1
- Mozilla Firefox:1.0.4
补丁
暂无
评论