U radu programskog paketa xulrunner uočeno je više sigurnosnih propusta. Udaljeni zloćudni korisnik te propuste može iskoristiti za DoS (eng. Denial of Service) napad, proizvoljno pokretanje programskog koda te otkrivanje osjetljivih podataka.
Problemi sigurnosti se javljaju zbog korupcije memorije, nepravilne implementacije "window.location" JavaScript objekta, pogreške u biblioteci YARR, cjelobrojnog prepisivanja, itd.
Posljedica:
Udaljeni napadač navedene propuste može iskoristiti za proizvoljno izvršavanje programskog koda, napad uskraćivanjem usluga (DoS) i otkrivanje osjetljivih informacija.
Rješenje:
Rješenje problema sigurnosti je korištenje dostupnih programskih nadogradnji.
--------------------------------------------------------------------------------
Fedora Update Notification
FEDORA-2011-13465
2011-09-29 01:06:17
--------------------------------------------------------------------------------
Name : xulrunner
Product : Fedora 15
Version : 7.0
Release : 1.fc15
URL : http://developer.mozilla.org/En/XULRunner
Summary : XUL Runtime for Gecko Applications
Description :
XULRunner is a Mozilla runtime package that can be used to bootstrap XUL+XPCOM
applications that are as rich as Firefox and Thunderbird. It provides
mechanisms
for installing, upgrading, and uninstalling these applications. XULRunner also
provides libxul, a solution which allows the embedding of Mozilla technologies
in other projects and products.
--------------------------------------------------------------------------------
Update Information:
Update to new upstream Firefox version 7.0, fixing multiple security issues
detailed in the upstream advisories:
* http://www.mozilla.org/security/known-vulnerabilities/firefox.html#firefox7
This update also includes all packages depending on gecko-libs rebuilt against
the new version of Firefox / XULRunner.
--------------------------------------------------------------------------------
ChangeLog:
* Tue Sep 27 2011 Jan Horak <Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.> - 7.0-1
- Update to 7.0
* Tue Sep 6 2011 Jan Horak <Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.> - 6.0.2-1
- Update to 6.0.2
* Wed Aug 31 2011 Jan Horak <Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.> - 6.0-3
- Distrust a specific Certificate Authority
* Tue Aug 16 2011 Martin Stransky <Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.> 6.0-2
- Updated gtkmozembed patch
* Tue Aug 16 2011 Martin Stransky <Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.> 6.0-1
- 6.0
* Thu Jun 30 2011 Martin Stransky <Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.> 5.0-5
- Fixed build on powerpc(64)
* Tue Jun 28 2011 Dan HorÄ
Posljednje sigurnosne preporuke