blob: dc1b129bb8333b7635d7db95eccad16b9c9db7cc (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
|
#use wml::debian::translation-check translation="b128ca5f062ffd92dfde8a7b5888d4e87ec075f2" mindelta="1"
<define-tag description>flera sårbarheter</define-tag>
<define-tag moreinfo>
<p>
Flera säkerhetsrelaterade problem har upptäckts i Mozilla, vilka även förekommer
i Mozilla Thunderbird.
Projektet Common Vulnerabilities and Exposures identifierar följande
sårbarheter:
</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2006-1942">CVE-2006-1942</a>
<p>
Eric Foley upptäckte att en användare kunde luras att exponera en lokal fil
till en angripare utifrån genom att visa en lokal fil som en bild i samband
med andra sårbarheter. [MFSA-2006-39]
</p>
</li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2006-2775">CVE-2006-2775</a>
<p>
XUL-attribut associerades till fel URL under vissa omständigheter, vilket
kunde tillåta angripare utifrån att förbigå begränsningar. [MFSA-2006-35]
</p>
</li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2006-2776">CVE-2006-2776</a>
<p>
Paul Nickerson upptäckte att innehållsdefinierade sättare för en
objektprototyp anropades med privilegier för användargränssnittskod, och
”moz_bug_r_a4” demonstrerade att de högre privilegierna kunde
vidaresändas till den innehållsdefinierade attackkoden. [MFSA-2006-37]
</p>
</li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2006-2777">CVE-2006-2777</a>
<p>
En sårbarhet gjorde det möjligt för angripare utifrån att exekvera godtycklig
kod och skapa meddelanden som exekverades i en privilegierad kontext.
[MFSA-2006-43]
</p>
</li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2006-2778">CVE-2006-2778</a>
<p>
Mikolaj Habryn upptäckte ett buffertspill i funktionen crypto.signText vilket
gjorde det möjligt för angripare utifrån att exekvera godtycklig kod via
vissa valfria namnargument för certifieringsorgan. [MFSA-2006-38]
</p>
</li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2006-2779">CVE-2006-2779</a>
<p>
Mozilla-gruppmedlemmar upptäckte flera krascher vid testning av
webbläsarmotorn som visade på en minnesöverskrivning som möjligen kunde leda
till exekvering av godtycklig kod.
Detta problem har endast delvis korrigerats. [MFSA-2006-32]
</p>
</li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2006-2780">CVE-2006-2780</a>
<p>
Ett heltalsspill gjorde det möjligt för angripare utifrån att utföra en
överbelastningsattack och kunde tillåta exekvering av godtycklig kod.
[MFSA-2006-32]
</p>
</li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2006-2781">CVE-2006-2781</a>
<p>
Masatoshi Kimura upptäckte en sårbar dubbel frigörning som tillät angripare
utifrån att utföra en överbelastningsattack och möjligen exekvera godtycklig
kod via ett VCard.
[MFSA-2006-40]
</p>
</li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2006-2782">CVE-2006-2782</a>
<p>
Chuck McAuley upptäckte att en textindataruta kunde fyllas i med ett filnamn
i förväg och sedan omvandlas till en fil-insändningsruta, vilket gjorde det
möjligt för en elakartad webbplats att stjäla valfri lokal fil vars namn de
kan gissa. [MFSA-2006-41, MFSA-2006-23,
<a href="https://security-tracker.debian.org/tracker/CVE-2006-1729">CVE-2006-1729</a>]
</p>
</li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2006-2783">CVE-2006-2783</a>
<p>
Masatoshi Kimura upptäckte att Unicodes byte-ordningsmärke (BOM) togs bort
från UTF-8-sidor under omvandlingen till Unicode innan parsern såg webbsidan,
vilket gjorde det möjligt för angripare utifrån att utföra
serveröverskridande skriptangrepp (XSS). [MFSA-2006-42]
</p>
</li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2006-2784">CVE-2006-2784</a>
<p>
Paul Nickerson upptäckte att rättningen av
<a href="https://security-tracker.debian.org/tracker/CVE-2005-0752">CVE-2005-0752</a>
kunde förbigås genom att använda nästlade javascript:-URLer, vilket gjorde
det möjligt för angriparen att utföra privilegierad kod.
[MFSA-2005-34, MFSA-2006-36]
</p>
</li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2006-2785">CVE-2006-2785</a>
<p>
Paul Nickerson demonstrerade att om en angripare kunde övertala användaren
att högerklicka på en trasig bild och välja ”Visa bild” från
bildmenyn så kunde han köra JavaScript. [MFSA-2006-34]
</p>
</li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2006-2786">CVE-2006-2786</a>
<p>
Kazuho Oku upptäckte att Mozillas överseende hantering av syntaxen för
HTTP-huvuden kunde göra det möjligt för angripare utifrån att lura
webbläsaren att tolka vissa svar som om de var svar från två olika
webbplatser. [MFSA-2006-33]
</p>
</li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2006-2787">CVE-2006-2787</a>
<p>
Mozillaforskaren ”moz_bug_r_a4” upptäckte att JavaScript som
kördes via EvalInSandbox kunde bryta sig ut ur sandlådan och få utökade
privilegier. [MFSA-2006-31]
</p>
</li>
</ul>
<p>
För den stabila utgåvan (Sarge) har dessa problem rättats i version
1.0.2-2.sarge1.0.8a.
</p>
<p>
För den instabila utgåvan (Sid) har dessa problem rättats i version 1.5.0.4-1
och xulrunner 1.5.0.4-1 för galeon och epiphany.
</p>
<p>Vi rekommenderar att ni uppgraderar era Mozilla Thunderbird-paket.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2006/dsa-1134.data"
|
