Plusieurs vulnérabilité à distance ont été découvertes dans Xulrunner, un environnement d'exécution pour les applications XUL. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants :
Nicolas Derouet a découvert que Xulrunner ne réalisait pas de validation suffisante des cookies ; cela peut conduire à un déni de service.
Boris Zbarsky, Eli Friedman, Georgi Guninski, Jesse Ruderman, Martijn Wargers et Olli Pettay ont découvert des plantages dans le moteur de rendu ; cela peut permettre l'exécution de code arbitraire.
Brendan Eich, Igor Bukanov, Jesse Ruderman, moz_bug_r_a4
et Wladimir Palant
ont découvert des plantages dans le moteur JavaScript ; cela peut
permettre l'exécution de code arbitraire.
Marcel
a découvert que des sites malveillants pouvaient causer la
consommation massive de ressources via la possibilité de
complètement automatique, résultant en un déni de service.
moz_bug_r_a4
a découvert que l'ajout d'un gestionnaire d'événements
via la fonction addEventListener() permettait une attaque par script
intersite.
Chris Thomas a découvert qu'on pouvait détourner les fenêtres surgissantes XUL pour des attaques par usurpation ou hameçonnage.
L'ancienne distribution stable (Sarge) ne contient pas xulrunner.
Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la version 1.8.0.12-0etch1.
La distribution instable (Sid) sera corrigée prochainement.
Nous vous recommandons de mettre à jour vos paquets xulrunner.
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.