Alert GCSA-07115 - Vulnerabilita' in Mozilla Firefox e SeaMonkey
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
************************************************************************
Alert ID : GCSA-07115
Data : 27 Novembre 2007
Titolo : Vulnerabilita' in Mozilla Firefox e SeaMonkey
************************************************************************
:: Descrizione del problema
Sono state risolte alcune vulnerabilita' scoperte in Mozilla
Firefox e Seamokey che se sfruttate potrebbero causare condizioni
di denial of service e compromissione di un sitema affetto.
La prima vulnerabilita' e' causata da una race condition che si crea
durante l'impostazione della proprieta' "window.location" e puo'
essere sfruttata per generare attacchi di tipo cross-site request
forgery (CSRF).
La seconda vulnerabilita' e' causata da errori di corruzione della
memoria durante l'elaborazione di dati malformati e puo' essere
sfruttata da un attaccante per mandare in crash un browser
vulnerabile o eseguire codice arbitrario inducendo l'utente a
visitare un sito web malevolo.
:: Piattaforme e Software interessati
Firefox 2.0.0.9 e precedenti
Mozilla SeaMonkey 1.1.6 e precedenti
:: Impatto
Cross Site Scripting
DoS
System access
:: Soluzione
Aggiornare Firefox alla versione 2.0.0.10
http://www.mozilla.com/en-US/firefox/
Upgrade to Mozilla SeaMonkey version 1.1.7 :
http://www.mozilla.org/projects/seamonkey/
:: Riferimenti
Mozilla Foundation Security Advisory
http://www.mozilla.org/projects/security/known-vulnerabilities.html#firefox2.0.0.10
http://www.mozilla.org/security/announce/2007/mfsa2007-39.html
http://www.mozilla.org/security/announce/2007/mfsa2007-38.html
http://www.mozilla.org/security/announce/2007/mfsa2007-37.html
Secunia
http://secunia.com/advisories/27725/
FrSIRT
http://www.frsirt.com/english/advisories/2007/4002
Mitre's CVE ID
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5959
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5960
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5947
-----BEGIN PGP SIGNATURE-----
iQCVAwUBR0xK6/OB+SpikaiRAQK21QP+LnxkQPTvXs1defZHfkocVs6U5RMFxg0z
O4n6gh4xBsGYwRgdTOaW992wncftCW9s9W/Syk47a7fFaHriesjcSsDI7YQJFrFa
Muown8iaC9aVaRruxI27tyGixoMw/datZ5vkfWaiXBA87x89P/RYq222GdZY97yK
mZqqdrFAl2s=
=iOEt
-----END PGP SIGNATURE-----
Hash: SHA1
************************************************************************
Alert ID : GCSA-07115
Data : 27 Novembre 2007
Titolo : Vulnerabilita' in Mozilla Firefox e SeaMonkey
************************************************************************
:: Descrizione del problema
Sono state risolte alcune vulnerabilita' scoperte in Mozilla
Firefox e Seamokey che se sfruttate potrebbero causare condizioni
di denial of service e compromissione di un sitema affetto.
La prima vulnerabilita' e' causata da una race condition che si crea
durante l'impostazione della proprieta' "window.location" e puo'
essere sfruttata per generare attacchi di tipo cross-site request
forgery (CSRF).
La seconda vulnerabilita' e' causata da errori di corruzione della
memoria durante l'elaborazione di dati malformati e puo' essere
sfruttata da un attaccante per mandare in crash un browser
vulnerabile o eseguire codice arbitrario inducendo l'utente a
visitare un sito web malevolo.
:: Piattaforme e Software interessati
Firefox 2.0.0.9 e precedenti
Mozilla SeaMonkey 1.1.6 e precedenti
:: Impatto
Cross Site Scripting
DoS
System access
:: Soluzione
Aggiornare Firefox alla versione 2.0.0.10
http://www.mozilla.com/en-US/firefox/
Upgrade to Mozilla SeaMonkey version 1.1.7 :
http://www.mozilla.org/projects/seamonkey/
:: Riferimenti
Mozilla Foundation Security Advisory
http://www.mozilla.org/projects/security/known-vulnerabilities.html#firefox2.0.0.10
http://www.mozilla.org/security/announce/2007/mfsa2007-39.html
http://www.mozilla.org/security/announce/2007/mfsa2007-38.html
http://www.mozilla.org/security/announce/2007/mfsa2007-37.html
Secunia
http://secunia.com/advisories/27725/
FrSIRT
http://www.frsirt.com/english/advisories/2007/4002
Mitre's CVE ID
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5959
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5960
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5947
-----BEGIN PGP SIGNATURE-----
iQCVAwUBR0xK6/OB+SpikaiRAQK21QP+LnxkQPTvXs1defZHfkocVs6U5RMFxg0z
O4n6gh4xBsGYwRgdTOaW992wncftCW9s9W/Syk47a7fFaHriesjcSsDI7YQJFrFa
Muown8iaC9aVaRruxI27tyGixoMw/datZ5vkfWaiXBA87x89P/RYq222GdZY97yK
mZqqdrFAl2s=
=iOEt
-----END PGP SIGNATURE-----