漏洞信息详情
多种Web浏览器零宽度GIF图象导致内存破坏漏洞
- CNNVD编号:CNNVD-200210-120
- 危害等级: 高危
- CVE编号: CVE-2002-1091
- 漏洞类型: 边界条件错误
- 发布时间: 2002-09-06
- 威胁类型: 远程
- 更新时间: 2005-05-16
- 厂 商: netscape
- 漏洞来源: zen-parse※ zen-par...
漏洞简介
Netscape、Mozilla和Opera是流行的Web浏览器。 多种Web浏览器在处理GIF图象文件时存在问题,远程攻击者可以利用这个漏洞进行拒绝服务攻击或者以用户进程权限执行任意指令。 多种WEB浏览器在处理宽度设置为零值的GIF图象文件时不正确,可导致覆盖堆结构中的信息,攻击者可以构建包含恶意GIF图象文件的WEB页面,当用户点击查看的时候覆盖堆结构,写内存任意,而导致WEB客户端崩溃,或者以用户进程权限在系统上执行任意指令。 由于对种浏览器都存在这个漏洞,所以这个漏洞很可能是由于某个用于对GIF图象着色的库造成的(如libungif),不过没有得到证实。
漏洞公告
临时解决方法: 如果您不能立刻安装补丁或者升级,CNNVD建议您采取以下措施以降低威胁:
* 设置浏览器不启动自动装载部分图象类型如GIF。 厂商补丁: Mozilla ------- 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
Mozilla Upgrade Mozilla 1.1
http://www.mozilla.org/releases/ Netscape -------- 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
Netscape Upgrade Netscape 7.0
http://channels.netscape.com/ns/browsers/download.jsp
参考网址
来源: BID 名称: 5665 链接:http://www.securityfocus.com/bid/5665 来源: REDHAT 名称: RHSA-2002:192 链接:http://www.redhat.com/support/errata/RHSA-2002-192.HTML 来源: XF 名称: netscape-zero-gif-bo(10058) 链接:http://www.iss.net/security_center/static/10058.php 来源: BUGTRAQ 名称: 20020906 zero-width gif: exploit PoC for NS6.2.3 (fixed in 7.0) [Was: GIFs 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=103134051120770&w=2 来源: crash.ihug.co.nz 链接:http://crash.ihug.co.nz/~Sneuro/zerogif/ 来源: bugzilla.mozilla.org 链接:http://bugzilla.mozilla.org/show_bug.cgi?id=157989 来源: REDHAT 名称: RHSA-2003:046 链接:http://www.redhat.com/support/errata/RHSA-2003-046.HTML 来源: MANDRAKE 名称: MDKSA-2002:075 链接:http://www.mandrakesoft.com/security/advisories?name=MDKSA-2002:075
受影响实体
- Netscape Navigator:6.2.2
- Netscape Navigator:6.2.3
- Netscape Navigator:6.2
补丁
暂无
评论