Plusieurs vulnérabilités distantes ont été découvertes dans Xulrunner, un environnement d'exécution pour les applications XUL. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants :
Jesse Ruderman a découvert que la structure du moteur est vulnérable aux attaques de type DoS ce qui peut conduire au déclenchement d'une corruption de la mémoire et à un dépassement d'entier. (MFSA 2008-60)
Boris Zbarsky a découvert que les attaques de divulgation d'information pourrait être réalisée via des liaisons XBL. (MFSA 2008-61)
Marius Schilder découvert qu'il est possible d'obtenir des données sensibles par le biais d'une requête XMLHttpRequest. (MFSA 2008-64)
Chris Evans a découvert qu'il est possible d'obtenir des données sensibles via une URL JavaScript. (MFSA 2008-65)
Chip Salzenberg a découvert la possibilité de faire des attaques de type hameçonnage avec des URLs contenant des espacements ou des caractères de contrôle. (MFSA 2008-66)
Il a été découvert qu'il est possible de faire des attaques de script intersite grâce aux liaisons XBL sur un document non chargé. (MFSA 2008-68)
Il a été découvert qu'il est possible d'exécuter du code JavaScript arbitraire avec les privilèges de chrome grâce à des vecteurs inconnus. (MFSA 2008-68)
Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la version 1.8.0.15~pre080614i-0etch1.
Pour la distribution testing (Lenny) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.9.0.5-1.
Nous vous recommandons de mettre à jour vos paquets xulrunner.
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.