Flera problem har upptäckts i Mozilla, webbläsaren i Mozillasviten. Eftersom vår vanliga praxis att bakåtanpassa rättelser inte verkar fungera för detta paket är detta version 1.7.10 med versionsnumret bakåtjusterat och heter därför fortfarande 1.7.8. Projektet Common Vulnerabilities and Exposures identifierar följande problem:
En sårbarhet har upptäckts i Mozilla vilken gör det möjligt för angripare utifrån att injicera godtyckliga Javascript från en sida till en ramuppsättning på en annan sida.
Webbläsarens gränssnitt skiljer inte korrekt mellan användargenerade händelser och obetrodda syntetiska händelser, vilket gör det enklare för angripare utifrån att utföra farliga operationer som vanligtvis endast kan utföras manuellt av användaren.
XML-skript kördes även när JavaScript inaktiverats.
Det är möjligt för en angripare utifrån att anropa en återanropsfunktion (callback) i en annan domäns kontext (t.ex en ram).
Saknad städning av indata till InstallVersion.compareTo() kan få programmet att krascha.
Angripare utifrån kunde stjäla känslig information såsom kakor och lösenord från webbplatser genom att få tillgång till data i ramar från andras webbplatser.
Det är möjligt för en JavaScript-dialogruta att låtsas vara en hämtdialog från en betrodd sida och därmed försöka nätfiska.
Angripare utifrån kunde ändra egenskaper för vissa taggar i DOM-noder, vilket kunde leda till exekvering av godtyckliga skript eller kod.
Webbläsarfamiljen Mozilla klonar inte basobjekt korrekt, vilket gör det möjligt för angripare utifrån att exekvera godtycklig kod.
För den stabila utgåvan (Sarge) har dessa problem rättats i version 1.7.8-1sarge2.
För den instabila utgåvan (Sid) har dessa problem rättats i version 1.7.10-1.
Vi rekommenderar att ni uppgraderar era Mozilla-paket.
MD5-kontrollsummor för dessa filer finns i originalbulletinen.