Alert GCSA-07077 - Vulnerabilita' nei prodotti Mozilla
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
*****************************************************************************
Alert ID : GCSA-07077
Data : 1 Agosto 2007
Titolo : Vulnerabilita' nei prodotti Mozilla
*****************************************************************************
:: Descrizione del problema:
Sono state rilasciate nuove versioni dei prodotti Mozilla Firefox,
Thunderbird e Seamonkey per risolvere due nuove vulnerabilita'.
La prima vulnerabilita' e' legata all'installazione di elementi
aggiuntivi ("addons") e puo' essere sfruttata per compromettere un
sistema affetto. Tale vulnerabilita' (introdotta dal fix per
correggere la vulnerabilita' MFSA 2007-20) e' causata da un errore
presente all'interno di certi "addons" e puo' essere sfruttata per
eseguire codice di scripting con privilegi chrome al momento in cui
un link viene aperto in una finestra "about:blank" creata e popolata
in maniera opportuna.
La seconda vulnerabilita' e' causata da un errore di validazione
degli input durante l'elaborazione di argomenti appositamente
predisposti passati ai gestori di URI quali "mailto:", "nntp:", "news:",
"snews:" o "telnet:". Tale vulnerabilita' puo' essere sfruttata da un
attaccante per eseguire comandi arbitrari inducendo un utente a
visitare apposite pagine web con browser vulnerabili.
:: Piattaforme e Software interessati:
* Firefox 2.0.0.5 e precedenti
* Thunderbird 2.0.0.5 e precedenti
* SeaMonkey 1.1.3 e precedenti
:: Impatto:
Compromissione del sistema
Esecuzione remota di codice arbitrario
:: Soluzione:
Aggiornare Firefox alla versione 2.0.0.6.
http://www.mozilla.com/en-US/firefox/
Aggiornare Thunderbird alla versione 2.0.0.6.
http://www.mozilla.com/en-US/thunderbird/
Aggiornare SeaMonkey alla versione 1.1.4.
http://www.mozilla.org/projects/seamonkey/
:: Riferimenti:
Mozilla Foundation Security Advisory
http://www.mozilla.org/security/announce/2007/mfsa2007-27.html
http://www.mozilla.org/security/announce/2007/mfsa2007-26.html
FrSirt
http://www.frsirt.com/english/advisories/2007/2667
Securityfocus
http://www.securityfocus.com/bid/25053
http://www.securityfocus.com/bid/25142
Secunia
http://secunia.com/advisories/26201/
http://secunia.com/advisories/26288/
US-CERT
http://www.kb.cert.org/vuls/id/783400
Mitre's CVE ID:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3844
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3845
-----BEGIN PGP SIGNATURE-----
iQCVAwUBRrC6afOB+SpikaiRAQIefQP+IpiaydwjN5KrVsi9ePr3uOk81Yumrfuk
qwBddGNgGA30xnnqlyFpcZbumKyreUaaXP9W7UiLIigUGtPhOMGGNZmPWrxrH6TK
+iIaKK3Hbp9CVU60P0hCLIngR/rdNkLyrZgRL4VHdpyb2BVYGrcFqAa+V9sEkxaE
1tX8LkB/UCY=
=KLI+
-----END PGP SIGNATURE-----
Hash: SHA1
*****************************************************************************
Alert ID : GCSA-07077
Data : 1 Agosto 2007
Titolo : Vulnerabilita' nei prodotti Mozilla
*****************************************************************************
:: Descrizione del problema:
Sono state rilasciate nuove versioni dei prodotti Mozilla Firefox,
Thunderbird e Seamonkey per risolvere due nuove vulnerabilita'.
La prima vulnerabilita' e' legata all'installazione di elementi
aggiuntivi ("addons") e puo' essere sfruttata per compromettere un
sistema affetto. Tale vulnerabilita' (introdotta dal fix per
correggere la vulnerabilita' MFSA 2007-20) e' causata da un errore
presente all'interno di certi "addons" e puo' essere sfruttata per
eseguire codice di scripting con privilegi chrome al momento in cui
un link viene aperto in una finestra "about:blank" creata e popolata
in maniera opportuna.
La seconda vulnerabilita' e' causata da un errore di validazione
degli input durante l'elaborazione di argomenti appositamente
predisposti passati ai gestori di URI quali "mailto:", "nntp:", "news:",
"snews:" o "telnet:". Tale vulnerabilita' puo' essere sfruttata da un
attaccante per eseguire comandi arbitrari inducendo un utente a
visitare apposite pagine web con browser vulnerabili.
:: Piattaforme e Software interessati:
* Firefox 2.0.0.5 e precedenti
* Thunderbird 2.0.0.5 e precedenti
* SeaMonkey 1.1.3 e precedenti
:: Impatto:
Compromissione del sistema
Esecuzione remota di codice arbitrario
:: Soluzione:
Aggiornare Firefox alla versione 2.0.0.6.
http://www.mozilla.com/en-US/firefox/
Aggiornare Thunderbird alla versione 2.0.0.6.
http://www.mozilla.com/en-US/thunderbird/
Aggiornare SeaMonkey alla versione 1.1.4.
http://www.mozilla.org/projects/seamonkey/
:: Riferimenti:
Mozilla Foundation Security Advisory
http://www.mozilla.org/security/announce/2007/mfsa2007-27.html
http://www.mozilla.org/security/announce/2007/mfsa2007-26.html
FrSirt
http://www.frsirt.com/english/advisories/2007/2667
Securityfocus
http://www.securityfocus.com/bid/25053
http://www.securityfocus.com/bid/25142
Secunia
http://secunia.com/advisories/26201/
http://secunia.com/advisories/26288/
US-CERT
http://www.kb.cert.org/vuls/id/783400
Mitre's CVE ID:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3844
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3845
-----BEGIN PGP SIGNATURE-----
iQCVAwUBRrC6afOB+SpikaiRAQIefQP+IpiaydwjN5KrVsi9ePr3uOk81Yumrfuk
qwBddGNgGA30xnnqlyFpcZbumKyreUaaXP9W7UiLIigUGtPhOMGGNZmPWrxrH6TK
+iIaKK3Hbp9CVU60P0hCLIngR/rdNkLyrZgRL4VHdpyb2BVYGrcFqAa+V9sEkxaE
1tX8LkB/UCY=
=KLI+
-----END PGP SIGNATURE-----