13 novembre 2008 ore 12,00

Security Focus (http://www.securityfocus.com/) riporta un bollettino di sicurezza (Bugtraq ID: 32281 (http://www.securityfocus.com/bid/32281/info)) in cui si spiega che sono state trovate multiple vulnerabilità in Mozilla Firefox, Thunderbird e SeaMonkey.

Lo sfruttamento di queste falle permette ad attackers i seguenti tipi di attacchi:

- rubare credenziali di autenticazione;
- rubare informazioni potenzialmente sensibili;
- violare le politiche "same-origin";
- eseguire scripts con privilegi elevati;
- causare condizioni di denial-of-service;
- eseguire codice arbitrario malevolo.

Possono essere possibili anche altri tipi di attacchi.

Questi bug sono presenti nei seguenti prodotti:

- Mozilla Firefox 3.0.3 e precedenti
- Mozilla Firefox 2.0.0.17 e precedenti
- Mozilla Thunderbird: 2.0.0.17 e precedenti
- Mozilla SeaMonkey 1.1.13 e precedenti

Più nello specifico (programmi e piattaforme):

RedHat Enterprise Linux WS 4
RedHat Enterprise Linux WS 3
RedHat Enterprise Linux WS 2.1
RedHat Enterprise Linux ES 4
RedHat Enterprise Linux ES 3
RedHat Enterprise Linux ES 2.1
RedHat Enterprise Linux Desktop Workstation 5 client
RedHat Enterprise Linux Desktop 5 client
RedHat Enterprise Linux AS 4
RedHat Enterprise Linux AS 3
RedHat Enterprise Linux AS 2.1
RedHat Enterprise Linux 5 server
RedHat Desktop 4.0
RedHat Desktop 3.0
RedHat Advanced Workstation for the Itanium Processor 2.1 IA64
Mozilla Thunderbird 2.0 8
Mozilla Thunderbird 2.0 17
Mozilla Thunderbird 2.0 16
Mozilla Thunderbird 2.0 15
Mozilla Thunderbird 2.0 .9
Mozilla Thunderbird 2.0 .6
Mozilla Thunderbird 2.0 .5
Mozilla Thunderbird 2.0 .4
Mozilla Thunderbird 2.0 .14
Mozilla Thunderbird 2.0 .13
Mozilla Thunderbird 2.0 .12
Mozilla SeaMonkey 1.1.12
Mozilla SeaMonkey 1.1.11
Mozilla SeaMonkey 1.1.10
Mozilla SeaMonkey 1.1.9
Mozilla SeaMonkey 1.1.8
Mozilla SeaMonkey 1.1.7
Mozilla SeaMonkey 1.1.6
Mozilla SeaMonkey 1.1.5
Mozilla SeaMonkey 1.1.4
Mozilla SeaMonkey 1.1.3
Mozilla SeaMonkey 1.1.2
Mozilla SeaMonkey 1.1.1
Mozilla SeaMonkey 1.0.99
Mozilla SeaMonkey 1.0.9
Mozilla SeaMonkey 1.0.8
Mozilla SeaMonkey 1.0.7
Mozilla SeaMonkey 1.0.6
Mozilla SeaMonkey 1.0.5
Mozilla SeaMonkey 1.0.3
Mozilla SeaMonkey 1.0.2
Mozilla SeaMonkey 1.0.1
Mozilla SeaMonkey 1.1 beta
Mozilla SeaMonkey 1.0 dev
Mozilla SeaMonkey 1.0
Mozilla Firefox 3.0.3
Mozilla Firefox 3.0.2
Mozilla Firefox 3.0.1
Mozilla Firefox 2.0 8
Mozilla Firefox 2.0 17
Mozilla Firefox 2.0 16
Mozilla Firefox 2.0 .9
Mozilla Firefox 2.0 .7
Mozilla Firefox 2.0 .6
Mozilla Firefox 2.0 .5
Mozilla Firefox 2.0 .4
Mozilla Firefox 2.0 .3
Mozilla Firefox 2.0 .10
Mozilla Firefox 2.0 .1
Mozilla Firefox 3.0 Beta 5
Mozilla Firefox 3.0
Mozilla Firefox 2.0.0.3
Mozilla Firefox 2.0.0.2
Mozilla Firefox 2.0.0.15
Mozilla Firefox 2.0.0.14
Mozilla Firefox 2.0.0.13
Mozilla Firefox 2.0.0.12
Mozilla Firefox 2.0.0.11
Mozilla Firefox 2.0.0.10
Mozilla Firefox 2.0.0.10
Mozilla Firefox 2.0 RC3
Mozilla Firefox 2.0 RC2
Mozilla Firefox 2.0 beta 1
Mozilla Firefox 2.0


Soluzione:

La Fondazione Mozilla ha rilasciato i bollettini di sicurezza con i relativi aggiornamenti, per maggiori info, seguire questa pagina (http://www.securityfocus.com/bid/32281/solution).

Falle scoperte da:

Chris Evans, Collin Jackson, moz_bug_r_a4, ling and wushi of team509, Justin Schuh of IBM X-Force, Jesse Ruderman, Martijn Wargers, Bob Clary, Jesse Ruderman, Georgi Guninski and Liu Die Yu of TopsecTianRongXin


Fonte: SecurityFocus (http://www.securityfocus.com/bid/32281/info)

ripreso da secunia:

http://secunia.com/advisories/32713/
http://secunia.com/advisories/32714/
http://secunia.com/advisories/32715/

Rilasciata la release 3.0.4

http://www.mozilla.org/security/known-vulnerabilities/firefox30.html#firefox3.0.4

ripreso da punto informatico:

http://punto-informatico.it/2475011/PI/News/un-pacco-cerottoni-firefox.aspx

downloadblog:

http://www.downloadblog.it/post/8184/mozilla-rilascia-11-patch-per-firefox

e in dettaglio su tweakness:

http://www.tweakness.net/news/4824

Disponibile la versione 2.0.0.18 di Thunderbird.