[Fedora] Schwachstellen in Firefox vor Version 3.5.6 – FEDORA-2009-13366

[Fedora] Schwachstellen in Firefox vor Version 3.5.6 - FEDORA-2009-13366

Von

—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

Die Mozilla Browser Engine wird von verschiedenen Programmen verwendet
u.a. Firefox, Thunderbird, Seamonkey, Xulrunner, Galeon.

CVE-2009-3983 / MFSA 2009-68 – Schwachstelle in der Mozilla
Implementierung von NT Lan Manager (NTLM)

In der Mozilla Implementierung von NT Lan Manager (NTLM) ist eine
Schwachstelle vorhanden, die zum Weiterleiten von NTLM authenticated
requests an eine andere Anwendung fuehrt. Ein entfernter Angreifer kann
diese Schwachstelle ausnutzen, indem er einen Benutzer dazu bringt
eine entsprechend aufgebaute Webseite zu besuchen.

CVE-2009-3985 / MFSA 2009-69 – Veraenderung der Adresszeile in Firefox

Eine Schwachstelle in Firefox existiert bei der Darstellung von einer
leeren Webseite bei einer ungueltigen URL. Ein entfernter Angreifer
kann diese Schwachstelle zum Vortaeuschen einer regulaeren Webseite mit
einer veraenderten URL ausnutzen, wenn er einen Benutzer dazu bringt
eine entsprechend aufgebaute Webseite zu oeffnen.

CVE-2009-3986 / MFSA 2009-70 – Schwachstelle in der Mozilla Chrome
Engine

In der Mozilla Chrome Engine ist eine Schwachstelle bei dem
window.opener Objekt, die potentiell zum Ausfuehren beliebiger Befehle
mit Chrome-Rechten ausnutzbar ist. Eventuell ist das Ausnutzen dieser
Schwachstelle von einem entfernten Angreifer in Verbindung mit
verwundbaren Add-Ons moeglich.

CVE-2009-3984 / MFSA 2009-69 – Schwachstelle bei dem SSL
Sicherheitsindikator

Eine Schwachstelle in Firefox kann dazu fuehren, dass der SSL
Sicherheitsindikator in der Naehe der Adresszeile eine sichere
Verbindung anzeigt, obwohl nicht die komplette Webseite gesichert
uebertragen wurde. Diese Schwachstelle kann ein entfernter Angreifer
zum Vortaeuschen einer sicheren Verbindung ausnutzen, indem er einen
Benutzer auf eine entsprechend aufgebaute Webseite lockt.

CVE-2009-3388 / MFSA 2009-66 – Schwachstelle in der Bibliothek
liboggplay

In der liboggplay Bibliothek in Mozilla Firefox ist eine Schwachstelle
enthalten. Ein entfernter Angreifer kann diese Schwachstelle zum
Ausfuehren beliebiger Befehle mit den Rechten des Benutzer ausnutzen,
wenn dieser eine entsprechend aufgebaute Webseite oeffnet.

CVE-2009-3389 / MFSA 2009-67 – Integer Overflow in der Bibliothek
libtheora

In der Bibliothek libtheora in Xiph.Org, die auch in Mozilla Firefox
verwendet wird, befindet sich eine Schwachstelle die zu einem Integer
Overflow fuehren kann. Ein entfernter Angreifer kann beliebige Befehle
mit den Rechten der Anwendung ausfuehren oder diese zum Absturz bringen
(Denial of Service), wenn ein Benutzer eine entsprechend aufgebaute
Webseite oeffnet.

CVE-2009-3979 / CVE-2009-3981 / MFSA 2009-65 / CVE-2009-3980 – Mehrere
Schwachstellen in der Mozilla Browser Engine

In der Mozilla Browser Engine sind mehrere nicht naeher beschriebene
Schwachstellen vorhanden, die beim Verarbeiten von einer
entsprechenden Webseite zum Absturz und evtl. zum Ausfuehren beliebiger
Befehle mit den Rechten der Anwendung ausgenutzt werden koennen.

Betroffen sind die folgenden Software Pakete und Plattformen:

Paket blam, firefox, galeon, gnome-python2-extras, gnome-web-photo,
miro, mozvoikko, perl-Gtk2-MozEmbed, xulrunner

Fedora 12

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

Hersteller Advisory:
https://www.redhat.com/archives/fedora-package-announce/2009-December/msg01044.html
https://www.redhat.com/archives/fedora-package-announce/2009-December/msg01049.html
https://www.redhat.com/archives/fedora-package-announce/2009-December/msg01046.html
https://www.redhat.com/archives/fedora-package-announce/2009-December/msg01042.html
https://www.redhat.com/archives/fedora-package-announce/2009-December/msg01043.html
https://www.redhat.com/archives/fedora-package-announce/2009-December/msg01047.html
https://www.redhat.com/archives/fedora-package-announce/2009-December/msg01041.html
https://www.redhat.com/archives/fedora-package-announce/2009-December/msg01045.html
https://www.redhat.com/archives/fedora-package-announce/2009-December/msg01051.html

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
Torsten Voss

– —

Dipl.-Ing.(FH) Torsten Voss (Incident Response Team)

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-555
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

17. DFN Workshop “Sicherheit in vernetzten Systemen” 09./10.02.2010
Informationen unter https://www.dfn-cert.de/veranstaltungen/workshop.html

– ——————————————————————————–
Fedora Update Notification
FEDORA-2009-13366
2009-12-18 03:19:08
– ——————————————————————————–

Name : xulrunner
Product : Fedora 12
Version : 1.9.1.6
Release : 1.fc12
URL : http://developer.mozilla.org/En/XULRunner
Summary : XUL Runtime for Gecko Applications
Description :
XULRunner provides the XUL Runtime environment for Gecko applications.

– ——————————————————————————–
Update Information:

Update to new upstream Firefox version 3.5.6, fixing multiple security issues
detailed in the upstream advisories: http://www.mozilla.org/security/known-
vulnerabilities/firefox35.html#firefox3.5.6 Update also includes all packages
depending on gecko-libs rebuilt against new version of Firefox / XULRunner.
CVE-2009-3979 CVE-2009-3980 CVE-2009-3982 CVE-2009-3983 CVE-2009-3984
CVE-2009-3985 CVE-2009-3986 CVE-2009-3388 CVE-2009-3389
– ——————————————————————————–
ChangeLog:

* Wed Dec 16 2009 Jan Horak – 1.9.1.6-1
– – Update to 1.9.1.6
* Thu Nov 5 2009 Jan Horak – 1.9.1.5-1
– – Update to 1.9.1.5
– ——————————————————————————–
References:

[ 1 ] Bug #546694 – CVE-2009-3979 Mozilla crash with evidence of memory corruption
https://bugzilla.redhat.com/show_bug.cgi?id=546694
[ 2 ] Bug #546720 – CVE-2009-3983 Mozilla NTLM reflection vulnerability
https://bugzilla.redhat.com/show_bug.cgi?id=546720
[ 3 ] Bug #546722 – CVE-2009-3984 Mozilla SSL spoofing with document.location and empty SSL response page
https://bugzilla.redhat.com/show_bug.cgi?id=546722
[ 4 ] Bug #546726 – CVE-2009-3985 Mozilla URL spoofing via invalid document.location
https://bugzilla.redhat.com/show_bug.cgi?id=546726
[ 5 ] Bug #546724 – CVE-2009-3986 Mozilla Chrome privilege escalation via window.opener
https://bugzilla.redhat.com/show_bug.cgi?id=546724
– ——————————————————————————–

This update can be installed with the “yum” update program. Use
su -c ‘yum update xulrunner’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.

All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
http://fedoraproject.org/keys
– ——————————————————————————–

—–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.2 (GNU/Linux)

iD8DBQFLK5Bmk0kIxZMiiQ8RAixLAKDM3dXCk49oKYKRSrB4AVQ5nV2jtQCdHQDB
5N45ccWNdchaLS4HIQjgcao=
=30zw
—–END PGP SIGNATURE—–

© COMPUTEC MEDIA GmbH
Nach oben