1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
|
<define-tag description>Mehrere Verwundbarkeiten</define-tag>
<define-tag moreinfo>
<p>Es wurden mehrere entfernt ausnutzbare Verwundbarkeiten in Xulrunner, einer
Laufzeitumgebung für XUL-Anwendungen, entdeckt.
Das <q>Common Vulnerabilities and Exposures</q>-Projekt identifiziert die
folgenden Probleme:</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2008-2785">CVE-2008-2785</a>
<p>Es wurde festgestellt, dass die fehlende Überprüfung von Grenzen
eines Referenzzählers für CSS-Objekte zur Ausführung beliebigen Codes
führen kann.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2008-2798">CVE-2008-2798</a>
<p>Devon Hubbard, Jesse Ruderman und Martijn Wargers haben Abstürze der
Layout-Engine entdeckt, die zur Ausführung beliebigen Codes führen
könnten.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2008-2799">CVE-2008-2799</a>
<p>Igor Bukanov, Jesse Ruderman und Gary Kwong haben Abstürze in der
Javascript-Engine entdeckt, die zur Ausführung beliebigen Codes
führen könnten.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2008-2800">CVE-2008-2800</a>
<p><q>moz_bug_r_a4</q> entdeckte verschiedene Site-übergreifende
Skripting-Verwundbarkeiten.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2008-2801">CVE-2008-2801</a>
<p>Collin Jackson und Adam Barth haben entdeckt, dass Javascript-Code
im Kontext signierter JAR-Archive ausgeführt werden kann.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2008-2802">CVE-2008-2802</a>
<p><q>moz_bug_r_a4</q> hat festgestellt, dass XUL-Dokumente durch den
Zugriff auf die vorkompilierte <q>fastload</q>-Datei erweiterte
Berechtigungen erhalten können.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2008-2803">CVE-2008-2803</a>
<p><q>moz_bug_r_a4</q> hat festgestellt, dass die fehlende Bereinigung
der Eingabe in der Funktion mozIJSSubScriptLoader.loadSubScript()
zur Ausführung beliebigen Codes führen kann. Iceweasel selbst ist nicht
betroffen, aber einige Erweiterungen sind es.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2008-2805">CVE-2008-2805</a>
<p>Claudio Santambrogio hat festgestellt, dass bösartigen Websites
durch die fehlende Zugangsüberprüfung beim Einlesen von DOM ermöglicht wird,
den Browser dazu zu zwingen, lokale Dateien auf den Server hoch zu
laden, was den Zugriff auf Daten ermöglichen könnte.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2008-2807">CVE-2008-2807</a>
<p>Daniel Glazman hat festgestellt, dass ein Programmierfehler im Code
zum Einlesen von .properties-Dateien zur Weitergabe von Speicherinhalten an
Erweiterungen führen kann. Dies kann den Zugriff auf Daten
ermöglichen.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2008-2808">CVE-2008-2808</a>
<p>Masahiro Yamada hat festgestellt, dass Datei-URLs beim Auflisten
von Verzeichnisinhalten nur unzureichend maskiert wurden.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2008-2809">CVE-2008-2809</a>
<p>John G. Myers, Frank Benkstein und Nils Toedtmann haben
festgestellt, dass alternative Bezeichnungen in selbstsignierten
Zertifikaten nur unzureichend behandelt wurden, was zur
Manipulation von gesicherten Verbindungen führen kann.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2008-2811">CVE-2008-2811</a>
<p>Greg McManus hat einen Absturz im <q>block reflow</q>-Code entdeckt,
der zur Ausführung beliebigen Codes führen kann.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2008-2933">CVE-2008-2933</a>
<p>Billy Rios hat festgestellt, dass die Übergabe eines <q>pipe</q>-Symbols
(<q>|</q>) in der URL an Iceweasel dazu führen kann, dass
Chrom umfassendere Rechte erhält.</p></li>
</ul>
<p>Für die Stable-Distribution (Etch) wurden diese Probleme in Version
1.8.0.15~pre080614d-0etch1 behoben.</p>
<p>Für die Unstable-Distribution (Sid) wurden diese Probleme in Version
1.9.0.1-1 behoben.</p>
<p>Wir empfehlen Ihnen, Ihre xulrunner-Pakete zu aktualisieren.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2008/dsa-1615.data"
# $Id: dsa-1615.wml,v 1.3 2008-09-13 12:23:16 florian Exp
#use wml::debian::translation-check translation="b128ca5f062ffd92dfde8a7b5888d4e87ec075f2"
|