Mozilla software ที่ประกอบด้วยดังนี้

• Mozilla web browser, email and newsgroup client
• Firefox web browser
• Thunderbird email client

กล่าวทั่วไป

ช่องโหว่ทั้งหลายที่อยู่ใน Mozilla web browser และผลิตภัณฑ์อื่นๆ ที่เกี่ยวข้องนั้น มีช่องโหว่ที่อันตรายที่สุดที่สามารถทำให้ผู้โจมตีจากภายนอกกระตุ้นโค้ดอันตราย (arbitrary code) ให้ทำงานบนระบบนั้นๆ ได้

I. คำอธิบาย

มีรายงานว่าพบช่องโหว่หลากหลายชนิดใน Mozilla web browser และผลิตภัณฑ์อื่นๆ ที่เกี่ยวข้อง สำหรับข้อมูลรายละเอียด สามารถศึกษาได้ในบันทึกของช่องโหว่แต่ละชนิดดังต่อไปนี้

VU#414240 - Mozilla Mail vulnerable to buffer overflow via writeGroup() function in nsVCardObj.cpp

Mozilla Mail มีช่องโหว่ stack overflow vulnerability ใน display routines สำหรับ VCards ดังนั้นเมื่อมีการส่งอี-เมล์พร้อมกับ crafted VCard จะทำให้ผู้โจมตีจากภายนอกสามารถกระตุ้นโค้ดอันตรายให้ทำงานด้วยสิทธิ์ของผู้ใช้บนเครื่องของเหยื่อที่รับอี-เมล์ฉบับนั้น ซึ่งการโจมตีลักษณะนี้สามารถเกิดขึ้นในโหมดของ preview ได้ด้วย

VU#847200 - Mozilla contains integer overflows in bitmap image decoder

ช่องโหว่ที่เกิดขึ้นจากการจัดการ bitmap images ของ Mozilla และโปรแกรมอื่นๆ ที่เกี่ยวข้อง จะทำให้ผู้โจมตีจากภายนอกสามารถกระตุ้นโค้ดอันตรายให้ทำงานบนระบบที่มีช่องโหว่นี้ได้

VU#808216 - Mozilla contains heap overflow in UTF8 conversion of hostname portion of URLs

ช่องโหว่ที่เกิดขึ้นจากการจัดการ malformed URLs ของ Mozilla และโปรแกรมอื่นๆ ที่เกี่ยวข้อง จะทำให้ผู้โจมตีจากภายนอกสามารถกระตุ้นโค้ดอันตรายให้ทำงานบนระบบที่มีช่องโหว่นี้ได้

VU#125776 - Multiple buffer overflows in Mozilla POP3 protocol handler

มีช่องโหว่การล้นของหน่วยความจำหลายชนิดใน POP3 protocol handler ของ Mozilla ที่ปล่อยให้ POP3 server ที่ประสงค์ร้ายเข้าไปกระตุ้นโค้ดอันตรายให้ทำงานบนระบบที่มีช่องโหว่นี้ได้

VU#327560 - Mozilla "send page" feature contains a buffer overflow vulnerability

มีช่องโหว่การล้นของหน่วยความจำในฟีเจอร์ "send page" ของ Mozilla ซึ่งทำให้ผู้โจมตีจากภายนอกสามารถกระตุ้นโค้ดอันตรายให้ทำงานได้

VU#651928 - Mozilla allows arbitrary code execution via link dragging

ช่องโหว่ที่มีผลกระทบต่อ Mozilla web browsers นี้จะทำให้เกิดการละเมิดนโยบาย cross-domain scripting และอาจเป็นไปได้ที่จะเรียกให้โค้ดซึ่งมาจากภายนอกระบบทำงานได้
 

II. ผลกระทบ

ช่องโหว่เหล่านี้จะทำให้ผู้โจมตีจากภายนอกกระตุ้นโค้ดอันตรายให้ทำงานด้วยสิทธิของผู้ใช้ซึ่งกำลังใช้แอพพลิเคชันที่มีผลกระทบอยู่ได้
VU#847200 จะทำให้ผู้โจมตีจากภายนอกทำลายแอพพลิเคชันที่มีผลกระทบได้
 

III. วิธีแก้ไข

ปรับปรุงให้เป็นเวอร์ชั่นที่ได้รับการติดตั้ง patch แล้ว

Mozilla ได้เผยแพร่เวอร์ชั่นของซอฟต์แวร์ที่มีผลกระทบซึ่งได้รับการติดตั้ง patches สำหรับป้องกันช่องโหว่เหล่านี้แล้วดังนี้ :

• Mozilla 1.7.3
• Firefox Preview Release
• Thunderbird 0.8

ผู้ใช้ควรจะต้องปรับปรุงให้เป็นหนึ่งในเวอร์ชั่นเหล่านี้
 

Appendix A. References

• Mozilla Security Advisory - <http://www.mozilla.org/projects/security/known-vulnerabilities.html>
• Mozilla 1.7.2 non-ascii hostname heap overrun, Ga?l Delalleau - <http://www.zencomsec.com/advisories/mozilla-1.7.2-UTF8link.txt>
   
• Security Audit of Mozilla's .bmp image parsing, Ga?l Delalleau - <http://www.zencomsec.com/advisories/mozilla-1.7.2-BMP.txt>
• Security Audit of Mozilla's POP3 client protocol, Ga?l Delalleau - <http://www.zencomsec.com/advisories/mozilla-1.7.2-POP3.txt>
• US-CERT Vulnerability Note VU#414240 - <http://www.kb.cert.org/vuls/id/414240>
   
• US-CERT Vulnerability Note VU#847200 - <http://www.kb.cert.org/vuls/id/847200>
• US-CERT Vulnerability Note VU#808216 - <http://www.kb.cert.org/vuls/id/808216>
• US-CERT Vulnerability Note VU#125776 - <http://www.kb.cert.org/vuls/id/125776>
• US-CERT Vulnerability Note VU#327560 - <http://www.kb.cert.org/vuls/id/327560>
• US-CERT Vulnerability Note VU#651928 - <http://www.kb.cert.org/vuls/id/651928>