Aktualizacje produktów Mozilli
Firma Mozilla opublikowała biuletyny bezpieczeństwa, w których informuje o występowaniu luk w zabezpieczeniach programów Mozilla Firefox oraz Mozilla Thunderbird, które mogą zostać wykorzystane przez atakującego do obejścia zabezpieczeń w systemie użytkownika.
Biuletyny o wysokim priorytecie:
- MFSA 2011-19 - Biuletyn dotyczący błędów bezpieczeństwa pamięci w silniku przeglądarki używanym w Firefox oraz w innych produktach Mozilli. Niektóre z tych błędów mogą zostać wykorzystane przez atakującego do wykonania dowolnego kodu na komputerze.
- MFSA 2011-20 - Biuletyn dotyczący przeglądania przez użytkownika dokumentu XUL z wyłączonym JavaScript. Podatność może zostać wykorzystana przez atakującego do wykonania dowolnego kodu na komputerze ofiary.
- MFSA 2011-21 - Biuletyn dotyczący możliwości naruszenia bloku pamięci spowodowanej awarią w multipart/x-mixed-replace images.
- MFSA 2011-22 - Biuletyn dotyczący możliwości wykonania kodu za pomocą metody Array.reduceRight(). Podatność ta może zostać wykorzystana przez atakującego do kontrolowania zawartości pamięci.
- MFSA 2011-23 - Biuletyn dotyczący błędów występujących w wskaźniku. Podatność ta może zostać wykorzystana do uruchomienia przez atakującego dowolnego kodu na komputerze.
- MFSA 2011-26 - Biuletyn dotyczący błędów występujących w kodzie WebGL. Pierwsza z podatności może zostać wykorzystana do odczytu danych z procesów przechowujących informacje w GPU, natomiast druga była wynikiem nieprawidłowego zapisu, który mógł zostać wykorzystany do wykonania dowolnego kodu na komputerze ofiary.
Biuletyny o średnim priorytecie:
- MFSA 2011-24 - Biuletyn dotyczący obsługi plików cookie. Dwie domeny (np. domena.com oraz domena.com.), z których jedna była zakończona znakiem kropki były traktowane jako wymienne, może to prowadzić do wycieku danych do niewłaściwej strony.
- MFSA 2011-25 - Biuletyn dotyczący możliwości załadowania obrazu pochodzącego z innej domeny do tekstury WebGL. Podatność ta może zostać wykorzystana do kradzieży obrazu z innych stron.
- MFSA 2011-27 - Biuletyn dotyczący nieprawidłowego dekodowania HTML wewnątrz elementów SVG. Wykorzystanie tej podatności może prowadzić do ataków XSS.
Biuletyny o niskim priorytecie:
- MFSA 2011-28 - Biuletyn dotyczący możliwości wywołania XPInstall. Podatność może zostać wykorzystana do instalacji dodatków i motywów ze stron nie znajdujących się na "białej liście".
CERT.GOV.PL zaleca zapoznanie się z informacjami odnośnie aktualizacji i zastosowanie niezbędnych poprawek.
Źródło:
http://www.mozilla.org/security/announce/
Najbardziej popularne
-
01.03.2012Kradzieże haseł - ostrzeżenie W związku z powtarzającymi się incydentami teleinformatycznymi na różnego typu stronach internetowych, w rezultacie których zostają wykradzione hasła użytkowników, zespół CERT.GOV.PL przypomina podstawowe zasady bezpieczeństwa:
-
13.02.2012Wyciąg z ogólnej analizy ataków na witryny administracji państwowej RP w okresie 21 - 25 stycznia 2012r. Rządowy Zespół Reagowania na Incydenty Komputerowe CERT.GOV.PL opracował analizę ataków na witryny administracji państwowej RP w okresie 21‐25 stycznia 2012r.
-
30.01.2012Wytyczne w zakresie ochrony portali informacyjnych administracji publicznej wprowadzone przez Ministra Administracji i Cyfryzacji Zostały opracowane i zatwierdzone Wytyczne Ministra Administracji i Cyfryzacji w zakresie ochrony portali informacyjnych administracji publicznej opracowane przez Zespół zadaniowy do spraw ochrony portali rządowych powołany przez przewodniczącego Komitetu Rady Ministrów do spraw Cyfryzacji Michała Boniego
-
06.04.2011Nowe zagrożenie w plikach PDF Dzięki współpracy polskich zespołów bezpieczeństwa, związanych inicjatywa Abuse-Forum udało się wykryć oraz przeanalizować nowe zagrożenie. Od 03.04.2011 do polskich internautów trafia wiadomość e-mail zawierająca w załączniku złośliwy dokument PDF. Z analiz przeprowadzonych przez CERT Polska wynika, że po otwarciu załączonego pliku PDF komputer zostaje zainfekowany złośliwym oprogramowanie SpyEye.
-
26.01.2011Cyberprzestępcy wykorzystują tragedię w Moskwie Rządowy Zespół Reagowania na Incydenty Komputerowe CERT.GOV.PL informuje, że tragedia związana z atakiem bombowym na lotnisku Domodiedowo w Moskwie wykorzystywana jest między innymi do rozsyłania poczty internetowej zawierającej złośliwe oprogramowanie.
-
03.11.2010Ostrzeżenie o ataku wyłudzającym W dniu dzisiejszym , Rządowy Zespół Reagowania na Incydenty Komputerowe CERT.GOV.PL uzyskał informacje o masowo rozsyłanych wiadomościach email mających na celu wyłudzenie informacji dostępowych (adres email, hasło) do kont pocztowych instytucji administracji państwowej (domena gov.pl).
-
27.08.2010Poważny błąd w systemach operacyjnych firmy Microsoft Windows W ostatnim czasie głośno jest o poważnej luce w zabezpieczeniach systemów Windows “DLL Preloading Bug”. Powyższa luka pozwala na podrzucenie dowolnej biblioteki dołączanej dynamicznie DLL do systemu operacyjnego i załadowanie jej przy wykorzystaniu dowolnej aplikacji zainstalowanej na komputerze ofiary.
-
07.04.2010Ostrzeżenie przed atakami ukierunkowanymi W związku z informacjami o atakach ukierunkowanych na pracowników instytucji administracji publicznej, Rządowy Zespół Reagowania na Incydenty Komputerowe CERT.GOV.PL apeluje o zachowanie środków ostrożności przy przeglądaniu poczty internetowej zatytułowanej „The annual Cybersecurity meeting on April 05-08”.
-
19.01.2010Atak phishingowy na klientów banku PKO BP W związku z atakiem phishingowym na użytkowników banku PKO BP Rządowy Zespół Reagowania na Incydenty Komputerowe ostrzega przed próbą wyłudzenia wrażliwych danych.
