漏洞信息详情
Mozilla Firefox/Thunderbird/SeaMonkey不可信搜索路径漏洞
- CNNVD编号:CNNVD-201008-312
- 危害等级: 超危
- CVE编号: CVE-2010-3131
- 漏洞类型: 其他
- 发布时间: 2010-08-30
- 威胁类型: 远程
- 更新时间: 2011-07-11
- 厂 商: mozilla
- 漏洞来源:
漏洞简介
Mozilla Firefox是美国Mozilla基金会开发的一款开源Web浏览器。Thunderbird是美国Mozilla基金会开发的从Mozilla Application Suite独立出来的电子邮件客户端软件,支持IMAP、POP邮件协议以及HTML邮件格式。Mozilla SeaMonkey是美国Mozilla基金会开发的一个免费、开源以及跨平台的网络套装软件。
Mozilla Firefox 3.5.12之前版本和3.6.9之前的3.6.x版本,Thunderbird 3.0.7之前版本以及3.1.3之前的3.1.x版本以及SeaMonkey 2.0.7之前版本中存在不可信搜索路径漏洞。远程攻击者可借助与.htm,.HTML,.jtx,.mfp或.eml文件位于相同文件夹中的dwmapi.dll木马执行任意代码和DLL劫持攻击。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接: http://www.mozilla.org/security/announce/2010/mfsa2010-52.HTML
参考网址
来源: VUPEN
名称: ADV-2010-2169
链接:http://www.vupen.com/english/advisories/2010/2169
来源: BUGTRAQ
名称: 20100824 Firefox <= 3.6.8="" dll="" hijacking="" exploit="">
链接:http://www.securityfocus.com/archive/1/archive/1/513324/100/0/threaded
来源: EXPLOIT-DB
名称: 14783
链接:http://www.exploit-db.com/exploits/14783
来源: SECUNIA
名称: 41095
链接:http://secunia.com/advisories/41095
受影响实体
- Mozilla Firefox:3.0.10
- Mozilla Firefox:3.0.11
- Mozilla Firefox:3.0.12
- Mozilla Firefox:3.0.13
- Mozilla Firefox:3.0.14
补丁
- Firefox-3.5.12
- Firefox-3.6.9.source.tar
- Firefox-3.6.9.tests
- seamonkey-2.0.7.tar
- Thunderbird Setup 3.0.7
评论