[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[Fedora] Schwachstellen in openvrml/Mozilla Firefox vor Version 2.0.0.8 - FEDORA-2007-2686
-----BEGIN PGP SIGNED MESSAGE-----
Hash: MD5
Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.
Openvrml basiert auf der Mozilla Browser Engine.
CVE-2007-1095 - Schwachstelle bei der Ausfuehrung von onUnload
Event-Handlers in Firefox
Bei der Ausfuehrung von onUnload Event-Handlers in Firefox existiert
eine Schwachstelle. Ein entfernter Angreifer kann diese Schwachstelle
unter Umstaenden ausnutzen, um an eventuell vertrauliche URLs in
Bookmarks zu gelangen und den Benutzer ohne dessen Interaktion und
Wissen zu einer anderen Seite weiterzuleiten.
CVE-2007-2292 - Firefox Schwachstelle bei Bearbeitung von HTTP Request
fuer Digest Authentication
Bei der Bearbeitung von HTTP Requests fuer Digest Authentication kann
ein Angreifer beliebige Eintraege in den Header des HTTP Requests der
Antwort einfuegen (Http Request Splitting). Diese Schwachstelle kann
unter Umstaenden ausgenutzt werden, um Inhalte eines Proxies unter
einer manipulierten URL einzufuegen (HTTP Request Smuggling).
CVE-2007-3511 - Schwachstelle bei der Bearbeitung von onkeydown Events
in Mozilla Firefox
Bei der Bearbeitung von onkeydown Events in Mozilla Firefox kann der
Fokus auf ein Formular zum Hochladen von Dateien (file upload form)
gelenkt werden. Diese Schwachstelle kann von einem entfernten
Angreifer unter Umstaenden ausgenutzt werden, um an Dateien des
Benutzers zu gelangen, deren vollstaendiger Pfad bekannt ist.
CVE-2007-5334 - Schwachstelle bei der Darstellung von XUL Dokumenten im
Firefox Browser
Bei der Darstellung von XUL Markup Language Dokumenten im Firefox
Browser kann die Titelzeile des Fensters verschleiert werden. Dieser
Fehler kann beispielsweise Phishing-Angriffe unterstuetzen.
CVE-2007-5337 - Schwachstelle in den URL-Handlern fuer smb: und sftp: im
Mozilla Firefox
In den URL-Handlern fuer smb: und sftp: im Mozilla Firefox sind
Schwachstellen vorhanden. Kann der lokale Benutzer ohne weitere
Interaktion auf einen in einer derartigen URL angegebenen Server
zugreifen, ist der Angreifer in der Lage, auf Dateien des Benutzers
auf dem entfernten Rechner zuzugreifen. Voraussetzung zur Ausnutzung
der Schwachstelle ist, dass der Benutzer eine HTML-Seite des
Angreifers oeffnet.
CVE-2007-5338 - Schwachstelle bei der Ausfuehrung von XPCNativeWrappers
in Firefox
Ein XPCNativeWrapper ist ein JavaScript, das die Ausfuehrung anderer
Script-Objekte mit eingeschraenkten Privilegien ermoeglicht. Dies ist
beispielsweise dann erforderlich, wenn privilegierter
chrome-Scriptcode auf Schnittstellen des Document Object Models (DOM)
zugreift, durch die potentiell Javascript-Code aus der HTML-Seite
ausgefuehrt wird.
Ein Script-Objekt im Mozilla Firefox kann XPCNativeWrapper Objekte in
einer Art und Weise manipulieren, dass Javascript-Code eines
Angreifers mit den Privilegien von Chrome ausgefuehrt wird. Ein
entfernter Angreifer kann diese Schwachstelle mittels einer speziell
konstruierten HTML-Seite und darin enthaltenen Scriptcodes ausnutzen,
um beliebige Befehle mit den Rechten des Benutzers auszufuehren.
CVE-2007-5339 - Schwachstellen in der Mozilla Firefox Browser Engine
In der Browser Engine vom Mozilla Firefox vor Versione 2.0.0.8 sind
mehrere Schwachstellen vorhanden, die zu einer Verletzung von
Speicherstrukturen fuehren. Ein entfernter Angreifer kann diese
Schwachstellen mittels einer speziell konstruierten HTML-Seite
ausnutzen, um den Browser zum Absturz zu bringen. Potentiell
ermoeglichen diese Schwachstellen die Ausfuehrung beliebigen Codes mit
den Rechten des Benutzers. Die Ausnutzung dieser Schwachstellen kann
durch das Abschalten von JavaScript verhindert werden.
CVE-2007-5340 - Schwachstellen in der Mozilla Firefox JavaScript Engine
In der JavaScript Engine vom Mozilla Firefox vor Versione 2.0.0.8 sind
mehrere Schwachstellen vorhanden, die zu einer Verletzung von
Speicherstrukturen fuehren. Ein entfernter Angreifer kann diese
Schwachstellen mittels einer speziell konstruierten HTML-Seite
ausnutzen, um den Browser zum Absturz zu bringen. Potentiell
ermoeglichen diese Schwachstellen die Ausfuehrung beliebigen Codes mit
den Rechten des Benutzers.
CVE-2006-2894 - Schwachstelle in der JavaScript Implementierung von
Mozilla Firefox
Ein entfernter Angreifer kann beliebige Dateien vom System des
Benutzers laden. Diese Schwachstelle ist ausnutzbar, in dem der
Benutzer dazu gebracht wird, einen Text in einen Upload Dialog
einzugeben, und der Angreifer fuer bestimmte Eingabezeichen die
KeyPress-Events in JavaScript widerruft.
Betroffen sind die folgenden Software Pakete und Plattformen:
Paket openvrml
Fedora 7
Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.
Hersteller Advisory:
https://www.redhat.com/archives/fedora-package-announce/2007-October/msg00392.html
(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.
Mit freundlichen Gruessen,
Andreas Bunten, DFN-CERT
- --
Andreas Bunten (CSIRT), +49 40 808077-555
DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-555
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Heidenkampsweg 41, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski
- --------------------------------------------------------------------------------
Fedora Update Notification
FEDORA-2007-2686
2007-10-29 19:04:39.852943
- --------------------------------------------------------------------------------
Name : openvrml
Product : Fedora 7
Version : 0.16.6
Release : 3.fc7
URL : http://openvrml.org
Summary : VRML/X3D runtime library
Description :
OpenVRML is a VRML/X3D support library, including a runtime and facilities
for reading and displaying VRML and X3D models.
- --------------------------------------------------------------------------------
ChangeLog:
* Wed Oct 24 2007 Braden McDaniel <braden@xxxxxxxxxxxxx> - 0.16.6-3
- - Updated firefox dependency to 2.0.0.8.
* Thu Jun 7 2007 Braden McDaniel <braden@xxxxxxxxxxxxx> - 0.16.6-2
- - Updated firefox dependency to 2.0.0.5.
* Thu Jun 7 2007 Braden McDaniel <braden@xxxxxxxxxxxxx> - 0.16.6-1
- - Updated to 0.16.6.
* Thu Jun 7 2007 Braden McDaniel <braden@xxxxxxxxxxxxx> - 0.16.5-1
- - Updated to 0.16.5.
* Sat Jun 2 2007 Braden McDaniel <braden@xxxxxxxxxxxxx> - 0.16.4-3
- - Updated firefox dependency to 2.0.0.4.
- --------------------------------------------------------------------------------
Updated packages:
7889c45eeedc1963b6c7e9b86535e6ade2388f3d openvrml-0.16.6-3.fc7.ppc64.rpm
58a39052737a774a65c310a8bc3b6c193cd1e642 openvrml-player-0.16.6-3.fc7.ppc64.rpm
1af6060587b4cad36119262b9a70e95696e276b4 openvrml-devel-0.16.6-3.fc7.ppc64.rpm
48557753db6adb723bd1a43fc6be48c2d53383dc openvrml-gl-0.16.6-3.fc7.ppc64.rpm
61bd639ce0a0a96d87de46c893c206f82c8dc8fe openvrml-debuginfo-0.16.6-3.fc7.ppc64.rpm
27c0ed19d902712bce0ec59db95abfe5bb255779 openvrml-xembed-0.16.6-3.fc7.ppc64.rpm
7aa9091e4effe87531ef998a4f7c57b825cac6d8 openvrml-mozilla-plugin-0.16.6-3.fc7.ppc64.rpm
d27114e638b51ca6ad2f814bf266efc571e0cc49 openvrml-gl-devel-0.16.6-3.fc7.ppc64.rpm
9290cd735ad8122020d8182a95dc47b37deb0801 openvrml-gl-0.16.6-3.fc7.i386.rpm
c64f304c226d49ee7db382b956f69d176c11b4df openvrml-mozilla-plugin-0.16.6-3.fc7.i386.rpm
a9059b0781e7cac3f00db9fe71f4144b95fe8ec6 openvrml-0.16.6-3.fc7.i386.rpm
94b2e29dd252ab5ce38cf61262f6f1c342be12a5 openvrml-player-0.16.6-3.fc7.i386.rpm
5f3da0a38c1790bec608a4075dd06be1ee8d6aca openvrml-xembed-0.16.6-3.fc7.i386.rpm
f71494bbd6e7fdb91ad0cb8bacb4e86ae186e32c openvrml-debuginfo-0.16.6-3.fc7.i386.rpm
8201b7953d85d44219ec64d0a9e6ca0081c17cfa openvrml-gl-devel-0.16.6-3.fc7.i386.rpm
cf4c72d18777a4e2d9674b0fbda223d473469b06 openvrml-devel-0.16.6-3.fc7.i386.rpm
71f96756215f01fb52110626d0bca3e1d805ec50 openvrml-player-0.16.6-3.fc7.x86_64.rpm
60f4fa89c5b681b7c0c2e85fe968ab2fed07d771 openvrml-gl-devel-0.16.6-3.fc7.x86_64.rpm
c591034a544b8b9d7550b0fcc664ad97ace0d62a openvrml-devel-0.16.6-3.fc7.x86_64.rpm
d5488f94d3a93fb5fe0393d9a79c799eeb01995b openvrml-mozilla-plugin-0.16.6-3.fc7.x86_64.rpm
ed8c990b9eac741d0dadb58ac265d5e1b497f5ce openvrml-gl-0.16.6-3.fc7.x86_64.rpm
7a59d8832261bf18aac6bf1179107351c2866449 openvrml-debuginfo-0.16.6-3.fc7.x86_64.rpm
5050bf473b05521bf1f14c64f867671bacb788a5 openvrml-xembed-0.16.6-3.fc7.x86_64.rpm
f01ca41845e851fc595f57c74ad597d600d6a43a openvrml-0.16.6-3.fc7.x86_64.rpm
acf20e41a6e6c4472564bd9d6e05d16ec5d6ce2a openvrml-xembed-0.16.6-3.fc7.ppc.rpm
59ce7a91b23401eb74ca7dd87c8eb2ed23aabf9b openvrml-player-0.16.6-3.fc7.ppc.rpm
e39b0f453e73b1882a8659044f247f303631f04e openvrml-debuginfo-0.16.6-3.fc7.ppc.rpm
1ec1f2032784aecd51ee8029529919a6762b48d0 openvrml-devel-0.16.6-3.fc7.ppc.rpm
27389d80a8619dbd1928103ff9531460be78dccb openvrml-mozilla-plugin-0.16.6-3.fc7.ppc.rpm
c7e4f123777b2e35922f00c54a357cdc4f79cab8 openvrml-gl-devel-0.16.6-3.fc7.ppc.rpm
87bdaefec011518fd4491ef857bb666f6929fc9e openvrml-gl-0.16.6-3.fc7.ppc.rpm
ae8eb0a42d9222f3ade8acf84d2f62164d8551fc openvrml-0.16.6-3.fc7.ppc.rpm
465130d39c868c932e201cefac9225912ca5fef7 openvrml-0.16.6-3.fc7.src.rpm
This update can be installed with the "yum" update program. Use
su -c 'yum update openvrml'
at the command line. For more information, refer to "Managing Software
with yum", available at http://docs.fedoraproject.org/yum/.
- --------------------------------------------------------------------------------
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (GNU/Linux)
iQEVAwUBRycQIRYd1iQZmhQQAQEDvggAgWUNqfQh4OHXNSkVF8fZhCwpH5oNmlzB
1eRYKCePDHsxF5ksB0PuCWvMx+6f/zyUoNWNupzR/FJqmbpPI86ks5DaSNUQHquh
YoCSJAF0NBEqQRp7xaTzDvGEf9Ott6XXQ75V8tENZiKSRbA5dpU0iSN9DadmEMPD
WbruvvB4LhCuIG8KaOAvP8XEPof5Hp1HFQlc8f5COpMVmSfq3fFSvR9zi8alThO7
v8jrGhVcLWbWgttoJ4UpbRo2PiPiDxHfd81I2vU/ZX5UrerKqgfULTS1o4iCBlsN
zVgrO2vLGCdxiQATHxFHkXZHyPH9ID6Faptowz2v6ceE0K7RCfBD9g==
=IbX/
-----END PGP SIGNATURE-----