Debian-Sicherheitsankündigung
DSA-779-2 mozilla-firefox -- Mehrere Verwundbarkeiten
- Datum des Berichts:
- 20. Aug 2005
- Betroffene Pakete:
- mozilla-firefox
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In der Debian-Fehlerdatenbank: Fehler 318061.
In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 14242.
In Mitres CVE-Verzeichnis: CVE-2005-2260, CVE-2005-2261, CVE-2005-2262, CVE-2005-2263, CVE-2005-2264, CVE-2005-2265, CVE-2005-2266, CVE-2005-2267, CVE-2005-2268, CVE-2005-2269, CVE-2005-2270. - Weitere Informationen:
-
Wir mussten feststellen, dass die Aktualisierung für Mozilla Firefox in DSA 779-1 leider in mehreren Fällen einen Rückschritt darstellte. Da die übliche Praxis der Rückportierung anscheinend nicht funktioniert, ist diese Aktualisierung im Grunde Version 1.0.6, allerdings mit einer zurückgestuften Versionsnummer, weshalb sie immer noch als 1.0.4-* benannt ist. Der Vollständigkeit halber ist unten der Text der ursprünglichen Ankündigung wiedergegeben:
In Mozilla Firefox, einem auf Mozilla basierenden, leichtgewichtigen Webbrowser, wurden mehrere Probleme entdeckt. Das
Common Vulnerabilities and Exposures project
identifiziert die folgenden Probleme:- CAN-2005-2260
Die Benutzerschnittstelle des Browsers unterscheidet nicht korrekt zwischen Ereignissen, die durch den Benutzer entstehen und solchen, die synthetisch entstehen und nicht vertrauenswürdig sind. Dadurch wird es für entfernte Angreifer leichter, gefährliche Aktionen durchzuführen, die normalerweise nur manuell vom Benutzer durchgeführt werden können.
- CAN-2005-2261
XML-Skripte liefen selbst dann, wenn Javascript ausgeschaltet war.
- CAN-2005-2262
Der Benutzer kann dazu gebracht werden, beliebigen JavaScript-Code auszuführen, indem er eine JavaScript-URL als Hintergrundbild verwendet.
- CAN-2005-2263
Es ist für einen entfernten Angreifer möglich, eine Callback-Funktion innerhalb des Kontexts einer anderen Domain (d.h. Frame) auszuführen.
- CAN-2005-2264
Durch das Öffnen eines böswilligen Verweises in der Seitenleiste ist es für entfernte Angreifer möglich, vertrauliche Informationen zu stehlen.
- CAN-2005-2265
Fehlende Entschärfung der Eingabe in der Funktion InstallVersion.compareTo() kann den Absturz der Applikation verursachen.
- CAN-2005-2266
Entfernte Angreifer können vertrauliche Informationen wie Cookies und Passwörter von Webseiten stehlen, indem sie auf Daten in fremden Frames zugreifen.
- CAN-2005-2267
Wenn eigenständige Applikationen wie Flash oder Quicktime zum Öffnen einer javascript: URL verwendet werden, ist es für entfernte Angreifer möglich, vertrauliche Informationen zu stehlen und möglicherweise beliebigen Code auszuführen.
- CAN-2005-2268
Es ist für ein JavaScript-Dialogfenster möglich, das Dialogfenster einer vertrauenswürdigen Seite nachzuahmen und dadurch Phishing-Angriffe zu erleichtern.
- CAN-2005-2269
Entfernte Angreifer können bestimmte Tag-Eigenschaften von DOM-Knoten ändern und dadurch beliebige Skripts oder Code ausführen.
- CAN-2005-2270
Die Mozilla Browserfamilie klonte Basisobjekte nicht korrekt, wodurch entfernte Angreifer beliebigen Code ausführen können.
Die alte Stable-Distribution (Woody) ist von diesen Problemen nicht betroffen.
Für die Stable-Distribution (Sarge) wurden diese Probleme in Version 1.0.4-2sarge3 behoben.
Für die Unstable-Distribution (Sid) wurden diese Probleme in Version 1.0.6-1 behoben.
Wir empfehlen Ihnen, Ihre Mozilla Firefox-Pakete zu aktualisieren.
- CAN-2005-2260
- Behoben in:
-
Debian GNU/Linux 3.1 (sarge)
- Quellcode:
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge3.dsc
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge3.diff.gz
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4.orig.tar.gz
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge3.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge3_alpha.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_alpha.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge3_alpha.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge3_amd64.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_amd64.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge3_amd64.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge3_arm.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_arm.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge3_arm.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge3_i386.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_i386.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge3_i386.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge3_ia64.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_ia64.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge3_ia64.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge3_hppa.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_hppa.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge3_hppa.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge3_m68k.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_m68k.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge3_m68k.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge3_mips.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_mips.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge3_mips.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge3_mipsel.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_mipsel.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge3_mipsel.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge3_powerpc.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_powerpc.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge3_powerpc.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge3_s390.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_s390.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge3_s390.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge3_sparc.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_sparc.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge3_sparc.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_sparc.deb
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.
MD5-Prüfsummen der aufgezählten Dateien stehen in der überarbeiteten Sicherheitsankündigung zur Verfügung.