[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[Fedora] Schwachstellen in Chmsee / Mozilla Firefox vor Version 2.0.0.5 - FEDORA-2007-1159

To: win-sec-ssc@xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Subject: [Fedora] Schwachstellen in Chmsee / Mozilla Firefox vor Version 2.0.0.5 - FEDORA-2007-1159
From: WiN Site Security Contacts <win-sec-ssc@xxxxxxxxxxxxxxxxx>
Date: Fri, 20 Jul 2007 12:19:13 +0200 (CEST)

-----BEGIN PGP SIGNED MESSAGE-----
Hash: MD5

Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

Chmsee basiert auf der Mozilla Browser Engine.

CVE-2007-3089 - Frame-Spoofing Schwachstelle beim Laden von Seiten in
Mozilla

  In Mozilla Firefox vor Version 2.0.0.5 koennen IFrames oder die
  spezielle Seite about:blank waehrend sie geladen werden, durch
  JavaScript-Code anderer Seiten manipuliert werden. Dabei ist es
  moeglich in diese Seite wiederum JavaScript-Code einzufuegen, der im
  Kontext der Seite ausgefuehrt wird. Beispiel-Programme zur Ausnutzung
  der Schwachstelle sind oeffentlich verfuegbar.

CVE-2007-3656 - Schwachstelle in Mozilla Firefox bei Behandlung von
wyciwyg URIs

  wyciwyg:// (What You Cache Is What You Get) ist ein internes
  URI-Schema von Mozilla, das zum Verwaltung von Seiten im Cache dient,
  speziell durch Scriptcode erzeugter oder geaenderter Seiten.

  In Mozilla Firefox vor Version 1.8.0.18 bzw. 1.8.1.5 werden fuer
  wyciwyg:// URIs nicht die sonst ueblichen Sicherheitstests
  durchgefuehrt. Ein entfernter Angreifer kann dadurch an vertrauliche
  Informationen gelangen, den Browser Cache manipulieren und evtl.
  weiterfuehrende Angriffe starten.

CVE-2007-3734 / CVE-2007-3735 - Verschiedene Memory Corruption
Schwachstellen in Mozilla Firefox vor Version 2.0.0.5

  Verschiedene Fehler in Mozilla Firefox vor Version 2.0.0.5 koennen die
  Speicherverwaltung des Programms stoeren und so zu einem Absturz oder
  einem Speicherleck fuehren. Einige der Fehler lassen sich
  wahrscheinlich von entfernten Angreifern ausnutzen, um beliebigen Code
  mit den Rechten des Benutzers des Browsers auszufuehren, wenn dieser
  auf entsprechend manipulierten Inhalt zugreift.

CVE-2007-3736 - Cross-Site Scripting Schwachstelle in den Mozilla
Funktionen addEventListener() und setTimeout()

  In Mozilla Firefox vor Version 2.0.0.5 existiert eine Schwachstelle
  bei der Bearbeitung der Funktionen addEventListener() und
  setTimeout(). Ein entfernter Angreifer kann dadurch Script Code im
  Browser des Benutzers im Kontext anderer Webseiten ausfuehren und so
  an vertrauliche Informationen gelangen.

CVE-2007-3737 - Schwachstelle in Mozilla Firefox vor Version 2.0.0.5

  In Mozilla Firefox vor Version 2.0.0.5 kann durch den Event Handler
  eines nicht genannten Objektes ausserhalb des aktuellen Dokuments
  beliebiger Code mit den Rechten der Chrome Oberflaeche ausgefuehrt
  werden. Ein entfernter Angreifer kann dadurch beliebige Befehle mit
  den Rechten des Benutzers ausfuehren, wenn dieser mit einem
  betroffenen Browser auf entsprechend manipulierte Inhalte zugreift.

CVE-2007-3738 - Schwachstelle im XPCNativeWrapper Mechanismus von
Mozilla Firefox vor Version 2.0.0.5

  Es existieren mehrere Schwachstellen beim Aufruf von Funktionen ueber
  den XPCNativeWrapper in Mozilla Firefox vor Version 2.0.0.5. Ein
  entfernter Angreifer kann dadurch beliebige Befehle mit den Rechten
  des Benutzers ausfuehren, wenn dieser auf entsprechend manipulierte
  Inhalte zugreift.

Betroffen sind die folgenden Software Pakete und Plattformen:

  Paket chmsee

  Fedora 7

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

Hersteller Advisory:
  https://www.redhat.com/archives/fedora-package-announce/2007-July/msg00375.html


(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
	Jan Kohlrausch
- -- 
Jan Kohlrausch (CSIRT), Phone +49 40 808077-555

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-555
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737


- --------------------------------------------------------------------------------
Fedora Update Notification
FEDORA-2007-1159
2007-07-19 09:46:20.424669
- --------------------------------------------------------------------------------

Name        : chmsee
Product     : Fedora 7
Version     : 1.0.0
Release     : 0.20.beta2.fc7
Summary     : A Gtk+2 CHM document viewer
Description :
A gtk2 chm document viewer.

It uses chmlib to extract files. It uses gecko to display pages. It supports
displaying multilingual pages due to gecko. It features bookmarks and tabs.
The tabs could be used to jump inside the chm file conveniently. Its UI is
clean and handy, also is well localized. It is actively developed and
maintained. The author of chmsee is Jungle Ji and several other great people.

Hint
* Unlike other chm viewers, chmsee extracts files from chm file, and then read
and display them. The extracted files could be found in $HOME/.chmsee/bookshelf
directory. You can clean those files at any time and there is a special config
option for that.
* The bookmark is related to each file so not all bookmarks will be loaded,
only current file's.
* Try to remove $HOME/.chmsee if you encounter any problem after an upgrade.

- --------------------------------------------------------------------------------
ChangeLog:

* Thu Jul 19 2007 bbbush <bbbush.yuan@xxxxxxxxx> - 1.0.0-0.20.beta2
- - update for firefox 1.5.0.12 and 2.0.0.5
- --------------------------------------------------------------------------------
Updated packages:

0b21fd6e969c051da90051cf20e1097358fd4ea6 chmsee-1.0.0-0.20.beta2.fc7.ppc64.rpm
96d07d6c1589e762f42448fbae59539445c9982b chmsee-debuginfo-1.0.0-0.20.beta2.fc7.ppc64.rpm
b38f8dac51efb99d48f17a06c28a0f6b54962305 chmsee-1.0.0-0.20.beta2.fc7.i386.rpm
d808258ac7eae60d176e03029de1353cb65f0cb2 chmsee-debuginfo-1.0.0-0.20.beta2.fc7.i386.rpm
3faf528fcb7b305a1df41164d5c587414f54f53a chmsee-1.0.0-0.20.beta2.fc7.x86_64.rpm
376522342a064d27d1495158aed937423562f5b7 chmsee-debuginfo-1.0.0-0.20.beta2.fc7.x86_64.rpm
95fc8aa5fcc8b0aa46d1cb3e2afd85bead5549ea chmsee-debuginfo-1.0.0-0.20.beta2.fc7.ppc.rpm
3b139d4657cb3f03d4cc9255ea1da63d16d2679e chmsee-1.0.0-0.20.beta2.fc7.ppc.rpm
25674af4a8eb0e3efb237e758f8f5e89d80e4a72 chmsee-1.0.0-0.20.beta2.fc7.src.rpm

This update can be installed with the 'yum' update program.  Use 'yum update
package-name' at the command line.  For more information, refer to 'Managing
Software with yum,' available at http://docs.fedoraproject.org/yum/.
- --------------------------------------------------------------------------------
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (GNU/Linux)

iQEVAwUBRqCMIRYd1iQZmhQQAQHP4Af+K1kK3/Z1b64uPQlNYlp0THUO/lDSlqgU
AyagKjMnH2eN5AXNWqV9SjaJms2Napf5HRfDvoOt3UozchGnk6rca91h/h2M6ieD
HIl8tj5g2TpuPbWvnrFjXZY4SoSoJAhwgRYAokPEZnG9fJown9KP1mS/9HVRJpK3
MHYqKF6U3YP4egBO/ya0Ug0IyOU8/5pyA+DkUvsoW0gpLPu/26IciUqc7L1y2s1Z
vG5wG7bBAaMa2mrYvJmMykx7QNkOwRVfo8erUrLazxp9sPXhby6kTZXd2L1SUwZs
1ytmNqxjgk6I3ZmUZlvTqCIk1BM+w9qSYSQwrJGFZ+kmKUvCGfTrIQ==
=dV0g
-----END PGP SIGNATURE-----

Prev by Date: [Fedora] Mehrere Schwachstellen in Epiphany / Mozilla Firefox vor Version 2.0.0.5 - FEDORA-2007-1155
Next by Date: [Fedora] Mehrere Integer Overflow Schwachstellen in Gimp vor Version 2.2.17 - FEDORA-2007-627
Previous by thread: [Fedora] Mehrere Schwachstellen in Epiphany / Mozilla Firefox vor Version 2.0.0.5 - FEDORA-2007-1155
Next by thread: [Fedora] Mehrere Integer Overflow Schwachstellen in Gimp vor Version 2.2.17 - FEDORA-2007-627
Index(es):
- Date
- Thread