Flere fjernudnytbare sårbarheder er opdaget i Xulrunner, et runtime-miljø til XUL-programmer. Projektet Common Vulnerabilities and Exposures har fundet frem til følgende problemer:
Nicolas Derouet opdagede at Iceape udførte utilstrækkelig kontrol på cookies, hvilket kunne føre til lammelsesangreb (denial of service).
Boris Zbarsky, Eli Friedman, Georgi Guninski, Jesse Ruderman, Martijn Wargers og Olli Pettay opdagede nedbrud i layoutmaskinen, hvilket kunne gøre det muligt at udføre vilkårlig kode.
Brendan Eich, Igor Bukanov, Jesse Ruderman, moz_bug_r_a4
og Wladimir
Palant opdagede nedbrud i JavaScript-maskinen, hvilket kunne gøre det muligt
at udføre vilkårlig kode.
Marcel
opdagede at ondsindede websteder kunne forårsage omfattende
ressourceforbrug gennem funktionen til automatisk fuldførelse, medførende
lammelsesangreb.
moz_bug_r_a4
opdagede at tilføjelse af en event-lytter gennem
funktionen addEventListener() tillod udførelse af skripter på tværs af
websteder (cross-site scripting).
Chris Thomas opdagede at XUL-popup'er kunne misbruges til forfalsknings- (spoofing) eller fiskningsangreb (phising).
Den gamle stabile distribution (sarge) indeholder ikke xulrunner.
I den stabile distribution (etch) er disse problemer rettet i version 1.8.0.12-0etch1.
I den ustabile distribution (sid) vil disse problemer snart blive rettet.
Vi anbefaler at du opgraderer dine xulrunner-pakker.
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.