[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[Fedora] Schwachstellen in Thunderbird / Mozilla Firefox vor Version 2.0.0.5 - FEDORA-2007-641



-----BEGIN PGP SIGNED MESSAGE-----
Hash: MD5

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

CVE-2007-3089 - Frame-Spoofing Schwachstelle beim Laden von Seiten in
Mozilla

  In Mozilla Firefox vor Version 2.0.0.5 koennen IFrames oder die
  spezielle Seite about:blank waehrend sie geladen werden, durch
  JavaScript-Code anderer Seiten manipuliert werden. Dabei ist es
  moeglich in diese Seite wiederum JavaScript-Code einzufuegen, der im
  Kontext der Seite ausgefuehrt wird. Beispiel-Programme zur Ausnutzung
  der Schwachstelle sind oeffentlich verfuegbar.

CVE-2007-3734 / CVE-2007-3735 - Verschiedene Memory Corruption
Schwachstellen in Mozilla Firefox vor Version 2.0.0.5

  Verschiedene Fehler in Mozilla Firefox vor Version 2.0.0.5 koennen die
  Speicherverwaltung des Programms stoeren und so zu einem Absturz oder
  einem Speicherleck fuehren. Einiger der Fehler lassen sich
  wahrscheinlich von entfernten Angreifern ausnutzen, um beliebigen Code
  mit den Rechten des Benutzers des Browsers auszufuehren, wenn dieser
  auf entsprechend manipulierten Inhalt zugreift.

CVE-2007-3736 - Cross-Site Scripting Schwachstelle in den Mozilla
Funktionen addEventListener() und setTimeout()

  In Mozilla Firefox vor Version 2.0.0.5 existiert eine Schwachstelle
  bei der Bearbeitung der Funktionen addEventListener() und
  setTimeout(). Ein entfernter Angreifer kann dadurch Script Code im
  Browser des Benutzers im Kontext anderer Webseiten ausfuehren und so
  an vertrauliche Informationen gelangen.

CVE-2007-3737 - Schwachstelle in Mozilla Firefox vor Version 2.0.0.5

  In Mozilla Firefox vor Version 2.0.0.5 kann durch den Event Handler
  eines nicht genannten Objektes ausserhalb des aktuellen Dokuments
  beliebiger Code mit den Rechten der Chrome Oberflaeche ausgefuehrt
  werden. Ein entfernter Angreifer kann dadurch beliebige Befehle mit
  den Rechten des Benutzers ausfuehren, wenn dieser mit einem
  betroffenen Browser auf entsprechend manipulierte Inhalte zugreift.

CVE-2007-3738 - Schwachstelle im XPCNativeWrapper Mechanismus von
Mozilla Firefox vor Version 2.0.0.5

  Es existieren mehrere Schwachstellen beim Aufruf von Funktionen ueber
  den XPCNativeWrapper in Mozilla Firefox vor Version 2.0.0.5. Ein
  entfernter Angreifer kann dadurch beliebige Befehle mit den Rechten
  des Benutzers ausfuehren, wenn dieser auf entsprechend manipulierte
  Inhalte zugreift.

Betroffen sind die folgenden Software Pakete und Plattformen:

  Paket thunderbird

  Fedora Core 6

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

Hersteller Advisory:
  https://www.redhat.com/archives/fedora-package-announce/2007-July/msg00392.html


(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
		Klaus Moeller, DFN-CERT


- ---------------------------------------------------------------------
Fedora Update Notification
FEDORA-2007-641
2007-07-20
- ---------------------------------------------------------------------

Product     : Fedora Core 6
Name        : thunderbird
Version     : 1.5.0.12
Release     : 2.fc6
Summary     : Mozilla Thunderbird mail/newsgroup client
Description :
Mozilla Thunderbird is a standalone mail and newsgroup client.

- ---------------------------------------------------------------------
Update Information:

Mozilla Thunderbird is a standalone mail and newsgroup client.

Several flaws were found in the way Thunderbird processed
certain malformed JavaScript code. A malicious HTML email
message containing JavaScript code could cause Thunderbird
to crash or potentially execute arbitrary code as the user
running Thunderbird. JavaScript support is disabled by
default in Thunderbird; these issues are not exploitable
unless the user has enabled JavaScript. (CVE-2007-3089,
CVE-2007-3734, CVE-2007-3735, CVE-2007-3736, CVE-2007-3737,
CVE-2007-3738)

Users of Thunderbird are advised to upgrade to these erratum
packages, which contain backported patches that correct
these issues.
- ---------------------------------------------------------------------
* Fri Jul 20 2007 Kai Engert <kengert@xxxxxxxxxx> - 1.5.0.12-2
- - Add a patch to stick with major versions 1.5.0.12 / 1.8.0.12
- - Update to latest snapshot of Mozilla 1.8.0 branch
- - Include patches for Mozilla bugs 379245, 384925, 178993,
  381300 (+382686), 358594 (+380933), 382532 (+382503)

- ---------------------------------------------------------------------
This update can be downloaded from:
    http://download.fedora.redhat.com/pub/fedora/linux/core/updates/6/

19679f423d4041bff14fb1296301658dfc6ba2ba  SRPMS/thunderbird-1.5.0.12-2.fc6.src.rpm
19679f423d4041bff14fb1296301658dfc6ba2ba  noarch/thunderbird-1.5.0.12-2.fc6.src.rpm
67e87bd1475f0de8294cf57d976ec342bd8a7c5b  ppc/thunderbird-1.5.0.12-2.fc6.ppc.rpm
98431b993e118b0fe00a2599e645a33ad6522c49  ppc/debug/thunderbird-debuginfo-1.5.0.12-2.fc6.ppc.rpm
c2156643405b7c671a93a2264ab958fd5f0fd944  x86_64/thunderbird-1.5.0.12-2.fc6.x86_64.rpm
e3b6835f0a8f7eb4835c1302e967ed008ecd1575  x86_64/debug/thunderbird-debuginfo-1.5.0.12-2.fc6.x86_64.rpm
bfeab692e49e51d7d0b541ca68965ab1500a6606  i386/thunderbird-1.5.0.12-2.fc6.i386.rpm
a0c642b01715286f1ced7a1f49a8d11b2f924577  i386/debug/thunderbird-debuginfo-1.5.0.12-2.fc6.i386.rpm

This update can be installed with the 'yum' update program.  Use 'yum update
package-name' at the command line.  For more information, refer to 'Managing
Software with yum,' available at http://fedora.redhat.com/docs/yum/.
- ---------------------------------------------------------------------


- -- 
Dipl. Inform. Klaus Moeller (CSIRT)
DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-555
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (GNU/Linux)

iQEVAwUBRqS3URYd1iQZmhQQAQHyBwf/baUgLYXjY7if5NRViQwIZoB+/6E0ZgSt
/+3AT97qgBQNSJo37J7E0Tas+0gTY/z3goK/1poWFcxmLRBJKJKArfQ+OBLkLKN6
EbIrHJIpeUtm6WQEcYkN1DTUnV4qCCOywLho41qnDf6xbEPhvMbKTcOYBGoLsUR5
Bh2ijn3my8HOsFgg4g6kZ8A9isGen3R+eAKt+eM6387qYNF3sHAjp0JDgnwZZiU+
QE0kbJAznNjgpkYR9Zf4mYe03E2JxbUMZRQFhipFB8wS+FeHW3V2l/Iw4Zgn5Xm9
UqDiRsJ6FMufdHrLHCSukNmBDN1gAnLyY/2+eV5Q9rMrqTNw9JlxSQ==
=7CrV
-----END PGP SIGNATURE-----