Mozilla Suite
Уязвимости
27
Эксплуатируемые
0
Макс. CVSS
9.3
Макс. EPSS
0.12589
Распределение по критичности
Критический
6
Высокий
5
Средний
14
Низкий
2
Затронутые диапазоны версий
< 1.7.13≤ 1.7.11≤ 1.7.12
Также сопоставлено как (исходные строки): firefox,mozilla_suite,thunderbird,seamonkey,navigator,k-meleon
Топ уязвимостей
CVE-2006-1739Код рендеринга границ CSS в Mozilla Firefox и Thunderbird 1.x до версии 1.5 и 1.0.x до версии 1.0.8, Mozilla Suite до версии 1.7.13 и SeaMonkey до версии 1.0 позволяет удаленным злоумышленникам вызывать отказ в обслуживании (сбой) и, возможно, выполнять произвольный код через определенные таблицы Cascading Style Sheets (CSS), которые вызывают запись вне границ массива и переполнение буфера.
CVE-2006-1737Целочисленное переполнение в Mozilla Firefox и Thunderbird 1.x до версии 1.5 и 1.0.x до версии 1.0.8, Mozilla Suite до версии 1.7.13 и SeaMonkey до версии 1.0 позволяет удаленным злоумышленникам вызывать отказ в обслуживании (сбой) и, возможно, выполнять произвольный байт-код через JavaScript с большим регулярным выражением.
CVE-2006-1735Mozilla Firefox и Thunderbird 1.x до версии 1.5 и 1.0.x до версии 1.0.8, Mozilla Suite до версии 1.7.13 и SeaMonkey до версии 1.0 позволяют удаленным злоумышленникам выполнять произвольный код, используя eval в привязке метода XBL (XBL.method.eval) для создания функций Javascript, которые компилируются с дополнительными привилегиями.
CVE-2006-1730Целочисленное переполнение в Mozilla Firefox и Thunderbird 1.x до версии 1.5.0.2 и 1.0.x до версии 1.0.8, Mozilla Suite до версии 1.7.13 и SeaMonkey до версии 1.0.1 позволяет удаленным злоумышленникам выполнять произвольный код через большое число в свойстве CSS letter-spacing, что приводит к переполнению буфера на основе кучи.
CVE-2006-1728Неуказанная уязвимость в Mozilla Firefox и Thunderbird 1.x до версии 1.5.0.2 и 1.0.x до версии 1.0.8, Mozilla Suite до версии 1.7.13 и SeaMonkey до версии 1.0.1 позволяет удаленным злоумышленникам выполнять произвольный код через неизвестные векторы, связанные с методом crypto.generateCRMFRequest.
CVE-2006-0749nsHTMLContentSink.cpp в Mozilla Firefox и Thunderbird 1.x до версий 1.5 и 1.0.x до 1.0.8, Mozilla Suite до 1.7.13 и SeaMonkey до 1.0 позволяет удаленным злоумышленникам вызывать отказ в обслуживании (сбой) и, возможно, выполнять произвольный код через неизвестные векторы, включающие «определенную последовательность HTML-тегов», что приводит к повреждению памяти.
CVE-2006-1727Неуказанная уязвимость в Mozilla Firefox и Thunderbird 1.x до версии 1.5.0.2 и 1.0.x до версии 1.0.8, Mozilla Suite до версии 1.7.13 и SeaMonkey до версии 1.0.1 позволяет удаленным злоумышленникам получать привилегии chrome через множественные векторы атак, связанные с использованием скриптов XBL с "Предварительным просмотром".
CVE-2006-1724Неуказанная уязвимость в Firefox и Thunderbird до версий 1.5.0.2, 1.0.x до 1.0.8, Mozilla Suite до 1.7.13 и SeaMonkey до версии 1.0.1 позволяет удаленным злоумышленникам вызывать отказ в обслуживании (сбой) и, возможно, выполнять произвольный код через векторы атак, связанные с DHTML.
CVE-2005-2705Целочисленное переполнение в движке JavaScript в Firefox до версии 1.0.7 и Mozilla Suite до версии 1.7.12 может позволить удаленным злоумышленникам выполнять произвольный код.
CVE-2005-2702Firefox до версии 1.0.7 и Mozilla Suite до версии 1.7.12 позволяет удаленным злоумышленникам вызывать отказ в обслуживании (сбой) и, возможно, выполнять произвольный код через последовательности Unicode с символами "zero-width non-joiner".
CVE-2005-2701Переполнение буфера на основе кучи в Firefox до версии 1.0.7 и Mozilla Suite до версии 1.7.12 позволяет удаленным злоумышленникам выполнять произвольный код через файл изображения XBM, который заканчивается большим количеством пробелов вместо ожидаемого конечного тега.
CVE-2006-1734Mozilla Firefox и Thunderbird 1.x до версии 1.5 и 1.0.x до версии 1.0.8, Mozilla Suite до версии 1.7.13 и SeaMonkey до версии 1.0 позволяют удаленным злоумышленникам выполнять произвольный код, используя метод Object.watch для доступа к внутренней функции "clone parent".
CVE-2006-1733Mozilla Firefox и Thunderbird 1.x до версии 1.5 и 1.0.x до версии 1.0.8, Mozilla Suite до версии 1.7.13 и SeaMonkey до версии 1.0 неправильно защищают область компиляции привилегированных встроенных привязок XBL, что позволяет удаленным злоумышленникам выполнять произвольный код через методы (1) valueOf.call или (2) valueOf.apply привязки XBL или (3) "путем вставки метода XBL в цепочку прототипов document.body DOM".
CVE-2005-2706Firefox до версии 1.0.7 и Mozilla до Suite 1.7.12 позволяет удаленным злоумышленникам выполнять Javascript с привилегиями chrome через страницу about:, такую как about:mozilla.
CVE-2006-1742Механизм JavaScript в Mozilla Firefox и Thunderbird 1.x до версии 1.5 и 1.0.x до версии 1.0.8, Mozilla Suite до версии 1.7.13 и SeaMonkey до версии 1.0 неправильно обрабатывает временные переменные, которые не собираются сборщиком мусора, что может позволить удаленным злоумышленникам запускать операции над освобожденной памятью и вызывать повреждение памяти.
CVE-2006-1738Неуказанная уязвимость в Mozilla Firefox и Thunderbird 1.x до версии 1.5 и 1.0.x до версии 1.0.8, Mozilla Suite до версии 1.7.13 и SeaMonkey до версии 1.0 позволяет удаленным злоумышленникам вызывать отказ в обслуживании (сбой) путем изменения стилей отображения (1) -moz-grid и (2) -moz-grid-group.
CVE-2005-4134Mozilla Firefox 1.5, Netscape 8.0.4 и 7.2, а также K-Meleon до версии 0.9.12 позволяют удаленным злоумышленникам вызывать отказ в обслуживании (потребление ЦП и задержка запуска приложения) через веб-сайт с большим заголовком, который записывается в history.dat, но не обрабатывается эффективно во время запуска. ПРИМЕЧАНИЕ: несмотря на первоначальные сообщения, поставщик Mozilla не считает, что эту проблему можно использовать для вызова сбоя или переполнения буфера в Firefox. Кроме того, было независимо сообщено, что Netscape 8.1 не имеет этой проблемы.
CVE-2005-2707Firefox до версии 1.0.7 и Mozilla Suite до версии 1.7.12 позволяет удаленным злоумышленникам создавать окна без компонентов пользовательского интерфейса, таких как адресная строка и строка состояния, которые можно использовать для проведения атак с подменой или фишингом.
CVE-2005-2704Firefox до версии 1.0.7 и Mozilla Suite до версии 1.7.12 позволяет удаленным злоумышленникам подделывать объекты DOM через XBL-элемент управления, который реализует внутренний интерфейс XPCOM.
CVE-2005-2703Firefox до версии 1.0.7 и Mozilla Suite до версии 1.7.12 позволяет удаленным злоумышленникам изменять HTTP-заголовки XML HTTP-запросов через XMLHttpRequest и, возможно, использовать клиент для эксплуатации уязвимостей на серверах или прокси-серверах, включая контрабанду HTTP-запросов и разделение HTTP-запросов.
CVE-2006-2613Mozilla Suite 1.7.13, Mozilla Firefox 1.5.0.3 и, возможно, другие версии до 1.8.0, и Netscape 7.2 и 8.1, а также, возможно, другие версии и продукты, позволяют удаленным злоумышленникам, использующим помощь пользователя, получать информацию, такую как путь установки, вызывая исключения и проверяя содержимое сообщения.
CVE-2006-1741Mozilla Firefox 1.x до версии 1.5 и 1.0.x до версии 1.0.8, Mozilla Suite до версии 1.7.13 и SeaMonkey до версии 1.0 позволяет удаленным злоумышленникам внедрять произвольный Javascript на другие сайты (1) "используя модальное оповещение для приостановки обработчика событий во время загрузки новой страницы", (2) используя eval() и используя определенные варианты, включающие (3) "new Script;" и (4) использование window.__proto__ для расширения eval, также известное как "межсайтовая инъекция JavaScript".
CVE-2006-1731Mozilla Firefox и Thunderbird 1.x до версии 1.5 и 1.0.x до версии 1.0.8, Mozilla Suite до версии 1.7.13 и SeaMonkey до версии 1.0 возвращают прототип класса Object вместо глобального объекта window, когда (1) .valueOf.call или (2) .valueOf.apply вызываются без каких-либо аргументов, что позволяет удаленным злоумышленникам проводить атаки межсайтового скриптинга (XSS).
CVE-2006-1729Mozilla Firefox 1.x до версии 1.5.0.2 и 1.0.x до версии 1.0.8, Mozilla Suite до версии 1.7.13 и SeaMonkey до версии 1.0.1 позволяет удаленным злоумышленникам читать произвольные файлы путем (1) вставки целевого имени файла в текстовое поле, а затем преобразования этого поля в элемент управления загрузкой файлов или (2) изменения типа элемента управления ввода, который связан с обработчиком событий.
CVE-2006-2894Mozilla Firefox 1.5.0.4, 2.0.x до 2.0.0.8, Mozilla Suite 1.7.13, Mozilla SeaMonkey 1.0.2 и другие версии до 1.1.5, а также Netscape 8.1 и более ранние версии позволяют удаленным злоумышленникам с помощью пользователя читать произвольные файлы, обманом заставляя пользователя вводить символы целевого имени файла в текстовое поле и используя события Javascript OnKeyDown, OnKeyPress и OnKeyUp для изменения фокуса и вставки этих символов в элемент управления загрузкой файла, который затем может загрузить файл, когда пользователь отправляет форму.