BUGTRAQ ID: 30038
CVE ID：CVE-2008-2798
                 CVE-2008-2799
                 CVE-2008-2800
                 CVE-2008-2801
                 CVE-2008-2802
                 CVE-2008-2803
                 CVE-2008-2805
                 CVE-2008-2806
                 CVE-2008-2807
                 CVE-2008-2808
                 CVE-2008-2809
                 CVE-2008-2810
                 CVE-2008-2811
CNCVE ID：CNCVE-20082798
                       CNCVE-20082799
                       CNCVE-20082800
                       CNCVE-20082801
                       CNCVE-20082802
                       CNCVE-20082803
                       CNCVE-20082805
                       CNCVE-20082806
                       CNCVE-20082807
                       CNCVE-20082808
                       CNCVE-20082809
                       CNCVE-20082810
                       CNCVE-20082811
 
漏洞消息时间:2008-07-02
 
漏洞起因
设计错误
 
影响系统
Ubuntu Ubuntu Linux 7.10 sparc
Ubuntu Ubuntu Linux 7.10 powerpc
Ubuntu Ubuntu Linux 7.10 lpia
Ubuntu Ubuntu Linux 7.10 i386
Ubuntu Ubuntu Linux 7.10 amd64
Ubuntu Ubuntu Linux 7.04 sparc
Ubuntu Ubuntu Linux 7.04 powerpc
Ubuntu Ubuntu Linux 7.04 i386
Ubuntu Ubuntu Linux 7.04 amd64
Ubuntu Ubuntu Linux 6.06 LTS sparc
Ubuntu Ubuntu Linux 6.06 LTS powerpc
Ubuntu Ubuntu Linux 6.06 LTS i386
Ubuntu Ubuntu Linux 6.06 LTS amd64
RedHat Enterprise Linux WS 4
RedHat Enterprise Linux WS 3
RedHat Enterprise Linux WS 2.1
RedHat Enterprise Linux ES 4
RedHat Enterprise Linux ES 3
RedHat Enterprise Linux ES 2.1
RedHat Enterprise Linux Desktop Workstation 5 client
RedHat Enterprise Linux Desktop 5 client
RedHat Enterprise Linux AS 4
RedHat Enterprise Linux AS 3
RedHat Enterprise Linux AS 2.1
RedHat Enterprise Linux 5 server
RedHat Desktop 4.0
RedHat Desktop 3.0
RedHat Advanced Workstation for the Itanium Processor 2.1
Mozilla SeaMonkey 1.1.9
Mozilla SeaMonkey 1.1.8
Mozilla SeaMonkey 1.1.7
Mozilla SeaMonkey 1.1.6
Mozilla SeaMonkey 1.1.5
Mozilla SeaMonkey 1.1.4
Mozilla SeaMonkey 1.1.3
Mozilla SeaMonkey 1.1.2
Mozilla SeaMonkey 1.1.1
Mozilla SeaMonkey 1.1 beta
Mozilla Firefox 2.0 8
Mozilla Firefox 2.0 .9
Mozilla Firefox 2.0 .7
Mozilla Firefox 2.0 .6
Mozilla Firefox 2.0 .5
Mozilla Firefox 2.0 .4
Mozilla Firefox 2.0 .10
Mozilla Firefox 2.0 .1
Mozilla Firefox 2.0.0.3
Mozilla Firefox 2.0.0.2
Mozilla Firefox 2.0.0.14
Mozilla Firefox 2.0.0.13
Mozilla Firefox 2.0.0.12
Mozilla Firefox 2.0.0.11
Mozilla Firefox 2.0 RC3
Mozilla Firefox 2.0 RC2
Mozilla Firefox 2.0 beta 1
Mozilla Firefox 2.0
 
不受影响系统
Mozilla SeaMonkey 1.1.10
Mozilla Firefox 2.0.0.15
 
危害
远程攻击者可以利用漏洞获得敏感信息或进行拒绝服务，任意代码执行攻击。
 
攻击所需条件
攻击者必须构建恶意WEB页，诱使用户访问。
 
漏洞信息
Mozilla Firefox是一款开放源代码的WEB浏览器。
Mozilla Firefox存在错个安全问题，远程攻击者可以利用漏洞获得敏感信息或进行拒绝服务，任意代码执行攻击。
-处理畸形JavaScript内容存在缺陷，可导致Firefox崩溃，可能导致任意代码执行(CVE-2008-2801, CVE-2008-2802, CVE-2008-2803)。
-处理畸形WEB内容页存在缺陷，可导致Firefox崩溃，可能导致任意代码执行(CVE-2008-2798, CVE-2008-2799, CVE-2008-2811)。
-特殊构建包含特殊内容的WEB页诱使Firefox用户处理可导致敏感信息泄漏(CVE-2008-2800)。
-Firefox存在两个本地文件泄漏问题，包含恶意内容的WEB页可泄漏本地文件内容(CVE-2008-2805, CVE-2008-2810)。
-处理畸形.properties文件存在缺陷，恶意扩展会读取未初始化内存，导致泄漏敏感数据给扩展(CVE-2008-2807)。
-firefox转义本地文件名列表存在缺陷，如果用户被诱使访问包含恶意文件名的本地目录，可导致以运行Firefox用户权限执行任意JavaScript。
-Firefox显示自签名证书信息存在缺陷，如果自签名证书包含多个预备名条目，缺陷可导致不显示个用户，导致错误的扩展可信证书到不可信站点。
 
测试方法
 
厂商解决方案
升级程序：
Mozilla Firefox 2.0.0.3
    * Mozilla Mozilla Firefox Download
      http://www.mozilla.com/en-US/firefox/all.html
Mozilla Firefox 2.0.0.12
    * Mozilla Mozilla Firefox Download
      http://www.mozilla.com/en-US/firefox/all.html
Mozilla Firefox 2.0.0.11
    * Mozilla Mozilla Firefox Download
      http://www.mozilla.com/en-US/firefox/all.html
Mozilla Firefox 2.0.0.2
    * Mozilla Mozilla Firefox Download
      http://www.mozilla.com/en-US/firefox/all.html
Mozilla Firefox 2.0 RC2
    * Mozilla Mozilla Firefox Download
      http://www.mozilla.com/en-US/firefox/all.html
Mozilla Firefox 2.0
    * Mozilla Mozilla Firefox Download
      http://www.mozilla.com/en-US/firefox/all.html
Mozilla Firefox 2.0 RC3
    * Mozilla Mozilla Firefox Download
      http://www.mozilla.com/en-US/firefox/all.html
Mozilla Firefox 2.0 beta 1
    * Mozilla Mozilla Firefox Download
      http://www.mozilla.com/en-US/firefox/all.html
Mozilla Firefox 2.0 .9
    * Mozilla Mozilla Firefox Download
      http://www.mozilla.com/en-US/firefox/all.html
Mozilla Firefox 2.0 .6
    * Mozilla Mozilla Firefox Download
      http://www.mozilla.com/en-US/firefox/all.html
Mozilla Firefox 2.0 .5
    * Mozilla Mozilla Firefox Download
      http://www.mozilla.com/en-US/firefox/all.html
Mozilla Firefox 2.0 .1
    * Mozilla Mozilla Firefox Download
      http://www.mozilla.com/en-US/firefox/all.html
Mozilla Firefox 2.0 8
    * Mozilla Mozilla Firefox Download
      http://www.mozilla.com/en-US/firefox/all.html
Mozilla Firefox 2.0 .7
    * Mozilla Mozilla Firefox Download
      http://www.mozilla.com/en-US/firefox/all.html
Mozilla Firefox 2.0 .10
    * Mozilla Mozilla Firefox Download
      http://www.mozilla.com/en-US/firefox/all.html
Mozilla Firefox 2.0 .4
    * Mozilla Mozilla Firefox Download
      http://www.mozilla.com/en-US/firefox/all.html
 
漏洞提供者
Mozilla Foundation
 
漏洞消息链接
http://www.mozilla.org/projects/security/known-vulnerabilities.html#firefox2.0.0.15
 
漏洞消息标题
Fixed in Firefox 2.0.0.15