低危 Mozilla多个产品IonMonkey JavaScript引擎Valgrind模式内存重用漏洞

CVE编号

CVE-2013-1728

利用情况

暂无

补丁情况

官方补丁

披露时间

2013-09-18

漏洞描述

Mozilla Firefox/SeaMonkey/Thunderbird是Mozilla所发布的WEB浏览器/新闻组客户端/邮件客户端。 在Valgrind模式下Mozilla Firefox/SeaMonkey/Thunderbird所使用的IonMonkey JavaScript引擎存在一个未明安全漏洞，允许远程攻击者利用漏洞构建恶意WEB页，诱使用户解析，可读取之前未分配内存，导致敏感信息泄露或使应用程序崩溃。

解决建议

Mozilla Firefox 24.0, Firefox ESR 17.0.9, Thunderbird 24.0已经修改该漏洞，建议用户下载更新：http://www.mozilla.org/en-US/

参考链接
http://lists.fedoraproject.org/pipermail/package-announce/2013-September/115907.html
http://lists.fedoraproject.org/pipermail/package-announce/2013-September/116610.html
http://lists.fedoraproject.org/pipermail/package-announce/2013-September/117526.html
http://lists.opensuse.org/opensuse-updates/2013-09/msg00055.html
http://lists.opensuse.org/opensuse-updates/2013-09/msg00057.html
http://lists.opensuse.org/opensuse-updates/2013-09/msg00059.html
http://lists.opensuse.org/opensuse-updates/2013-09/msg00061.html
http://www.mozilla.org/security/announce/2013/mfsa2013-85.html
http://www.securityfocus.com/bid/62468
http://www.ubuntu.com/usn/USN-1951-1
http://www.ubuntu.com/usn/USN-1952-1
https://bugzilla.mozilla.org/show_bug.cgi?id=883686
https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.ova...

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	mozilla	firefox	*		Up to (including) 23.0.1
	运行在以下环境
	应用	mozilla	firefox	19.0	-
	运行在以下环境
	应用	mozilla	firefox	19.0.1	-
	运行在以下环境
	应用	mozilla	firefox	19.0.2	-
	运行在以下环境
	应用	mozilla	firefox	20.0	-
	运行在以下环境
	应用	mozilla	firefox	20.0.1	-
	运行在以下环境
	应用	mozilla	firefox	21.0	-
	运行在以下环境
	应用	mozilla	firefox	22.0	-
	运行在以下环境
	应用	mozilla	firefox	23.0	-
	运行在以下环境
	应用	mozilla	seamonkey	*		Up to (including) 2.20
	运行在以下环境
	应用	mozilla	seamonkey	2.0	-
	运行在以下环境
	应用	mozilla	seamonkey	2.0.1	-
	运行在以下环境
	应用	mozilla	seamonkey	2.0.10	-
	运行在以下环境
	应用	mozilla	seamonkey	2.0.11	-
	运行在以下环境
	应用	mozilla	seamonkey	2.0.12	-
	运行在以下环境
	应用	mozilla	seamonkey	2.0.13	-
	运行在以下环境
	应用	mozilla	seamonkey	2.0.14	-
	运行在以下环境
	应用	mozilla	seamonkey	2.0.2	-
	运行在以下环境
	应用	mozilla	seamonkey	2.0.3	-
	运行在以下环境
	应用	mozilla	seamonkey	2.0.4	-
	运行在以下环境
	应用	mozilla	seamonkey	2.0.5	-
	运行在以下环境
	应用	mozilla	seamonkey	2.0.6	-
	运行在以下环境
	应用	mozilla	seamonkey	2.0.7	-
	运行在以下环境
	应用	mozilla	seamonkey	2.0.8	-
	运行在以下环境
	应用	mozilla	seamonkey	2.0.9	-
	运行在以下环境
	应用	mozilla	seamonkey	2.1	-
	运行在以下环境
	应用	mozilla	seamonkey	2.10	-
	运行在以下环境
	应用	mozilla	seamonkey	2.10.1	-
	运行在以下环境
	应用	mozilla	seamonkey	2.11	-
	运行在以下环境
	应用	mozilla	seamonkey	2.12	-
	运行在以下环境
	应用	mozilla	seamonkey	2.12.1	-
	运行在以下环境
应用	mozilla	seamonkey	2.13	-
运行在以下环境
应用	mozilla	seamonkey	2.13.1	-
运行在以下环境
应用	mozilla	seamonkey	2.13.2	-
运行在以下环境
应用	mozilla	seamonkey	2.14	-
运行在以下环境
应用	mozilla	seamonkey	2.15	-
运行在以下环境
应用	mozilla	seamonkey	2.15.1	-
运行在以下环境
应用	mozilla	seamonkey	2.15.2	-
运行在以下环境
应用	mozilla	seamonkey	2.16	-
运行在以下环境
应用	mozilla	seamonkey	2.16.1	-
运行在以下环境
应用	mozilla	seamonkey	2.16.2	-
运行在以下环境
应用	mozilla	seamonkey	2.17	-
运行在以下环境
应用	mozilla	seamonkey	2.17.1	-
运行在以下环境
应用	mozilla	seamonkey	2.18	-
运行在以下环境
应用	mozilla	seamonkey	2.19	-
运行在以下环境
应用	mozilla	seamonkey	2.20	-
运行在以下环境
应用	mozilla	thunderbird	*		Up to (including) 17.0.9
运行在以下环境
应用	mozilla	thunderbird	17.0	-
运行在以下环境
应用	mozilla	thunderbird	17.0.1	-
运行在以下环境
应用	mozilla	thunderbird	17.0.2	-
运行在以下环境
应用	mozilla	thunderbird	17.0.3	-
运行在以下环境
应用	mozilla	thunderbird	17.0.4	-
运行在以下环境
应用	mozilla	thunderbird	17.0.5	-
运行在以下环境
应用	mozilla	thunderbird	17.0.6	-
运行在以下环境
应用	mozilla	thunderbird	17.0.7	-
运行在以下环境
应用	mozilla	thunderbird	17.0.8	-
运行在以下环境
系统	opensuse_11.4	libfreebl3-debuginfo-32bit	*		Up to (excluding) 24.8.0-127.1
运行在以下环境
系统	suse_12	MozillaFirefox	*		Up to (excluding) 31.1.0esr-1
运行在以下环境
系统	ubuntu_12.04.5_lts	firefox	*		Up to (excluding) 24.0+build1-0ubuntu0.12.04.1

阿里云评分 2.3

• 攻击路径 本地
• 攻击复杂度 困难
• 权限要求 普通权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 -

CWE-ID	漏洞类型
CWE-119	内存缓冲区边界内操作的限制不恰当

Exp相关链接

- avd.aliyun.com