ثـ 12ـغرةأمنية جديدة في متصفح فايرفوكس
تقييم الثغرة : خطير
استغلال الثغرة عن بعد : نعم
استغلال الثغرة محلياً : نعم
تاريخ النشر : 12/07/2005م
** وصف تقني **
تم اكتشاف 12 ثغرة أمنية في متصفح فايرفوكس وحزمة موزيلا ، والتي قد تمكن الصفحات المشبوهة من تنفيذ أوامر مختلفة أو القيام بنقل بيانات خاصة أو تنفيذ هجوم بالبرمجيات عبر الموقع.
– الاستنساخ الغير صحيح للعناصر الأساسية قد تمكن محتويات الصفحة البرمجية من عمل سلسلة من الاختبارات الاعتيادية حتى تصل إلى عنصر ذو صلاحيات في النظام ، ويتمكن من خلاله المهكر من تنفيذ اوامره المختلفة
– يمكن للمواقع المشبوهة استغلال خطأ في عملية تقييم المدخلات الخاصة بصفحات XHTML تحتوي على عنصر <img> مزيف ومن ثم تنفيذ برمجياتها بصلاحيات عالية في النظام
– صناديق حوار جافاسكريبت لا تعرض أو يتضمّن أصلهم (أصل الموقع التي تعرض منه) ، مما يسمح لنافذة جديدة بفتح مثلاً (صندوق حوار لإدخال بيانات ، والذي يبدو من موقع آمن)
– خطأ في تقييم وحدة معالجة javascript URLs عند فتحه بواسطة برامج تشغيل الوسائط المتعددة يؤدي إلى تنفيذ أوامر اعتباطية .
– خطأ في معالجة امر "()top.focus" قد يمكن الهكر من سرقة بيانات خاصة أو تنفيذ هجوم بالبرمجيات
– خطأ إرتداد يمكن أن يستغلّ من قبل المهاجمين لحقن رمز جافاسكريبت إعتباطي من صفحة واحدة في frameset للموقع الآخر.
– خطأ في تقييم وظيفة "()InstallVersion.compareTo" عندما معالجة عناصر مبنية بشكل خاص يمكن أن تستغلّ من قبل المهاجمين لتنفيذ أوامر إعتباطية أو عمل هجمات تعطيل الخدمة .
– خطأ في تقييم معالجة ":Data " يو آر إل يمكن أن يستغلّ من قبل المهاجمين لإجراء هجوم بالبرمجيات .
– خطأ في طريقة "()InstallTrigger.install" يمكن أن تستغلّ لإجراء هجوم بالبرمجيات .
– خطأ عند معالجة خلفية سطح المكتب يمكن أن تستغلّ من قبل المهاجمين لتنفيذ أوامر اعتباطية على الانظمة التي تحوي هذه الثغرة وذلك بإقناع المتصفح بإستعمال وظيفة "Set As Wallpaper" من القائمة المنبثقة على صورة مبنية بشكل خاص .
– النصوص البرمجية في وحدة XBL من محتوى الويب تعمل حتّى عند تعطيل جافاسكريبت.
– خطأ في واجهة المتصفّح عندما معالجة أحداث المستخدم/synthetic ، يمكن أن تستغلّ من قبل المهاجمين لتنفيذ أوامر مختلفة .
** البرامج التي تحوي الثغرات **
فايرفوكس 1.0.4 وما قبل
موزيلا 1.7.8 وما قبل
ثنديربيرد 1.0.2 وما قبل
** الحلول **
تحديث البرامج الى النسخ الحديثة
فايرفوكس 1.0.5 و موزيلا 1.7.9 وثنديربيرد 1.0.5
** مكتشفوا الثغرات ** :
moz_bug_r_a4, shutdown, Secunia, Michael Krax, Kohei Yoshino, Matthew Mastracci, Omar Khan, and Jochen