[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

DSA-1615

Hallo zusammen!

Hab hier mal DSA-1615. Ab und zu bin ich mir nicht sicher, in wie fern
es sich um feste Begriffe handelt, wie zB bei "fastload file" o.ä...
Naja, schaut mal drüber...

Viele Grüße,
Gerrit

<define-tag description>Verschiedene Verwundbarkeiten</define-tag>
<define-tag moreinfo>
<p>Es wurden verschiedene Verwundbarkeiten in Xulrunner, einer Laufzeitumgebung
für XUL-Anwendungen entdeckt, welche aus der Ferne ausgenutzt werden können.
Das <q>Common Vulnerabilities and Exposures</q> Projekt hat folgende Probleme
indentifiziert:</p>

<ul>
	
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2785";>CVE-2008-2785</a>
	
	<p>Es wurde festgestellt, dass die fehlende Überprüfung von Schranken
	eines Referenz-Zählers in CSS Objekten zur Ausführung beliebigen Codes
	führen kann.</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2798";>CVE-2008-2798</a>
	
	<p>Devon Hubbard, Jesse Ruderman und Martijn Wargers haben Abstürze der
	der Layout-Engine entdeckt, die zur Ausführung beliebigen Codes führen
	können.</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2799";>CVE-2008-2799</a>
	
	<p>Igor Bukanov, Jesse Ruderman und Gary Kwong haben Abstürze in der
	Javascript Engine entdeckt, die zur Ausführung beliebigen Codes
	führen können.</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2800";>CVE-2008-2800</a>
	
	<p><q>moz_bug_r_a4</q> hat verschiedene Verwundbarkeiten durch Cross-Scripting
	entdeckt.</p>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2801";>CVE-2008-2801</a>
	
	<p>Collin Jackson und Adam Barth haben entdeckt, dass Javascript Code
	im Kontext signierter JAR-Archive ausgeführt werden kann.</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2802";>CVE-2008-2802</a>
	
	<p><q>moz_bug_r_a4</q> hat festgestellt, dass XUL-Dokumente durch den
	Zugriff auf die vorkompilierte <q>fastload</q> Datei, erweiterte
	Berechtigungen erhalten kann.</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2803";>CVE-2008-2803</a>
	
	<p><q>moz_bug_r_a4</q> hat festgestellt, dass die fehlende Bereinigung
	der Eingabe in der mozIJSSubScriptLoader.loadSubScript() Funktion
	zur Ausführeung beliebigen Codes führen kann. Iceweasel selbst trifft
	dies nicht, allerdings einige der Addons.</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2805";>CVE-2008-2805</a>
	
	<p>Claudio Santambrogio hat festgestellt, dass bösartigen Webseiten
	durch die fehlende Überprüfung beim Einlesen von DOM, ermöglicht wird,
	den Browser dazu zu bringen, lokale Dateien auf den Server hoch zu
	laden, was den Zugriff auf sensible Daten ermöglichen kann.</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2807";>CVE-2008-2807</a>
	
	<p>Daniel Glazman hat festgestellt, dass ein Programmierfehler im Code
	zum Einlesen von .properties Dateien zur Freigabe von Speicher an
	Addons führen kann. Dies kann den Zugriff auf sensible Daten
	ermöglichen.</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2808";>CVE-2008-2808</a>
	
	<p>Masahiro Yamada hat festgestellt, dass Datei-URLs beim Auflisten
	von Verzeichnisinhalten nur unzureichend auskommentiert waren.</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2809";>CVE-2008-2809</a>
	
	<p>John G. Myers, Frank Benkstein und Nils Toedtmann haben
	festgestellt, dass alternative Bezeichnungen in selbstsignierten
	Zertifikaten nur unzureichend behandelt wurden, was zur
	manipulation von gesicherten Verbindungen führen kann.</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2811";>CVE-2008-2811</a>
	
	<p>Greg McManus hat einen Absturz im <q>block reflow</q> Code entdeckt,
	der zur Ausführung beliebigen Codes führen kann.</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2933";>CVE-2008-2933</a>
	
	<p>Billy Rios hat festgestellt, dass die Übergabe eines <q>pipe</q>
	Symbols (<q>|</q>) in der URL an Iceweasel dazu führen kann, dass
	Chrom umfassendere Rechte erhält.</p></li>
	
</ul>

<p>Für die Stable-Distribution (Etch) wurden diese Probleme in der Version
1.8.0.15~pre080614d-0etch1 behoben.</p>

<p>Für die Unstable-Distribution (Sid) wurden diese Probleme in der Version
1.9.0.1-1 behoben.</p>

<p>Wir empfehlen, dass Sie Ihre xulrunner Pakete aktualisieren.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2008/dsa-1615.data"
# $Id: dsa-1615.wml,v 1.3 2008-09-13 12:23:16 florian Exp 
#use wml::debian::translation-check translation="1.3"
Reply to: