政府电脑保安事故协调中心 - 保安警报(A15-05-03): Firefox 和 Thunderbird 多个漏洞

描述:

Mozilla 发布了多个安全性公告，以应对于 Firefox 和 Thunderbird 中发现的多个漏洞。造成这些漏洞的原因包括浏览器引擎的记忆体安全性错误、处理 SVG 格式图像或已压缩的 XML 内容导致的堆阵满溢、核实 JavaScript 时 asm.js 的边界外存取 (out-of-bounds read and write) 、以及启用垂直文字后处理文字时的释放后使用 (use-after-free) 漏洞。远端攻击者可诱使用户开启包含特制内容的网页来攻击这些漏洞。

受影响的系统:

Firefox 38 之前的版本
Firefox ESR 31.7 之前的版本
Thunderbird 31.7 之前的版本

影响:

成功利用这些漏洞的攻击者可以终止程式执行、绕过保安限制、提高权限、窃取资讯和执行远端程式码。

建议:

Mozilla 发行了有关产品的新版本以应对以上问题。用户可从以下网址下载：

Firefox 38 for Windows, Macintosh 及 Linux
http://www.mozilla.org/en-US/firefox/all.html
Firefox 38 for Android
http://play.google.com/store/apps/details?id=org.mozilla.firefox
Firefox ESR 31.7 for Windows, Macintosh 及 Linux
http://www.mozilla.org/en-US/firefox/organizations/all/

目前为止，有关供应商还未发布 Thunderbird 的修补程式。由于用户单是浏览恶意网站即可能被攻击，作为一个临时保安措施及最佳作业实务，用户切勿浏览可疑网站或点击来源不明或滥发电邮内的网址，另外，需要确保防毒软件的病毒资料库及侦测引擎为最新版本。

受影响系统的用户应遵从产品供应商的建议，立即采取行动以降低风险。

进一步信息:

https://www.mozilla.org/en-US/security/advisories/
https://www.mozilla.org/en-US/security/advisories/mfsa2015-46/
https://www.mozilla.org/en-US/security/advisories/mfsa2015-47/
https://www.mozilla.org/en-US/security/advisories/mfsa2015-48/
https://www.mozilla.org/en-US/security/advisories/mfsa2015-49/
https://www.mozilla.org/en-US/security/advisories/mfsa2015-50/
https://www.mozilla.org/en-US/security/advisories/mfsa2015-51/
https://www.mozilla.org/en-US/security/advisories/mfsa2015-52/
https://www.mozilla.org/en-US/security/advisories/mfsa2015-53/
https://www.mozilla.org/en-US/security/advisories/mfsa2015-54/
https://www.mozilla.org/en-US/security/advisories/mfsa2015-55/
https://www.mozilla.org/en-US/security/advisories/mfsa2015-56/
https://www.mozilla.org/en-US/security/advisories/mfsa2015-57/
https://www.mozilla.org/en-US/security/advisories/mfsa2015-58/
https://www.mozilla.org/en-US/firefox/38.0/releasenotes/
http://www.mozilla.org/en-US/firefox/organizations/all/
https://www.hkcert.org/my_url/en/alert/15051307
https://www.us-cert.gov/ncas/current-activity/2015/05/12/Mozilla-Releases-Security-Updates-Firefox-Firefox-ESR-and
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3079
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0797
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0833
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2708 (至 CVE-2015-2718)
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2720

标签 : Firefox , Thunderbird , Mozilla