Plusieurs vulnérabilités distantes ont été découvertes dans Xulrunner, un environnement d'exécution pour les applications XUL. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants :
Jesse Ruderman a découvert que le moteur de rendu est vulnérable a un déni de service qui peut conduire à la correction de la mémoire et un dépassement d'entier. (MFSA 2008-60)
Boris Zbarsky a découvert qu'une attaque de fuite d'information peut être effectué grâce aux XBL bindings. (MFSA 2008-61)
Marius Schilder a découvert qu'il est possible d'obtenir des données sensible via XMLHttpRequest. (MFSA 2008-64)
Chris Evans a découvert qu'il est possible d'obtenir des données sensible via une URL JavaScript. (MFSA 2008-65)
Chip Salzenberg a découvert la possibilité de faire des attaques de type hameçonnage avec des URLs contenant des espacements ou des caractères de controle. (MFSA 2008-66)
Il a été découvert qu'il est possible de faire des attaques de script intersite grâce aux XBL binding sur "document non chargé". (MFSA 2008-68)
Il a été découvert qu'il est possible d'exécuter du code JavaScript arbitraire avec les privilèges de chrome grâce à des vecteurs inconnus. (MFSA 2008-68)
Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la version 1.8.0.15~pre080614i-0etch1.
Pour la distribution testing (Lenny) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.9.0.5-1.
Nous vous recommandons de mettre à jour vos paquets xulrunner.