漏洞信息详情

Google Mozilla NSS ‘pkcs11.txt’文件不可信搜索路径漏洞

• CNNVD编号：CNNVD-201110-668
• 危害等级： 超危
  
• CVE编号： CVE-2011-3640
• 漏洞类型： 代码问题
• 发布时间： 2011-10-28
• 威胁类型： 远程
• 更新时间： 2020-05-08
• 厂        商： Google
• 漏洞来源：

漏洞简介

Mozilla是种公开发放、免费使用、开放源码的WEB浏览器，可运行于绝大多数Unix/Linux系统上，也可运行在MacOS和微软Windows 9x/ME/NT/2000/XP上。

基于Windows和Mac OS X平台的Google CMS.zone.ci/e/tags/htag.php?tag=Chrome target=_blank class=infotextkey>Chrome 17中的Mozilla Network Security Services (NSS)中存在不可信搜索路径漏洞。本地用户可借助top-level目录中的特洛伊木马文件pkcs11.txt提升特权。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

https://bugzilla.mozilla.org/show_bug.cgi?id=641052

http://code.Google.com/p/chromium/issues/detail?id=97426

参考网址

来源:SUSE

链接:https://hermes.opensuse.org/messages/13155432

来源:MISC

链接:https://bugzilla.mozilla.org/show_bug.cgi?id=641052

来源:SUSE

链接:https://hermes.opensuse.org/messages/13154861

来源:MISC

链接:http://code.Google.com/p/chromium/issues/detail?id=97426

来源:MISC

链接:http://blog.acrossecurity.com/2011/10/Google-CMS.zone.ci/e/tags/htag.php?tag=Chrome target=_blank class=infotextkey>Chrome-pkcs11txt-file-planting.HTML

来源:SREASON

链接:http://securityreason.com/securityalert/8483

来源:OVAL

链接:https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A13414

受影响实体

• Google CMS.zone.ci/e/tags/htag.php?tag=Chrome target=_blank class=infotextkey>Chrome:13.0.782.34  
• Google CMS.zone.ci/e/tags/htag.php?tag=Chrome target=_blank class=infotextkey>Chrome:13.0.782.35  
• Google CMS.zone.ci/e/tags/htag.php?tag=Chrome target=_blank class=infotextkey>Chrome:13.0.782.36  
• Google CMS.zone.ci/e/tags/htag.php?tag=Chrome target=_blank class=infotextkey>Chrome:13.0.782.37  
• Google CMS.zone.ci/e/tags/htag.php?tag=Chrome target=_blank class=infotextkey>Chrome:13.0.782.38  

补丁

• softoken
• CMS.zone.ci/e/tags/htag.php?tag=Chrome target=_blank class=infotextkey>Chrome_pkcs