Fecha del reporte: 18 de jun de 2009

Paquetes afectados: xulrunner

Más información: múltiples vulnerabilidades remotas han sido descubiertas en Xulrunner, un entornos de ejecución para aplicaciones XUL, como el navegador web Iceweasel. El proyecto Common Vulnerabilities and Exposures identifica los siguientes problemas:

• CVE-2009-1392: Múltiples problemas en el motor del navegador han sido descubiertas, que pueden resultar en la ejecución de código arbitrario. (MFSA 2009-24)

• CVE-2009-1832: Es posible ejecutar código arbitrario cía vectores que involucren "double frame construction." (MFSA 2009-24)

• CVE-2009-1833: Jesse Ruderman y Adam Hauner descubrieron un problema en el motor JavaScript, que pueden implicar la ejecución de código arbitrario. (MFSA 2009-24)

• CVE-2009-1834: Pavel Cvrcek descubrió un problema potencia implicando ataques spoofing en la barra de direcciones relacionada a ciertos caracteres unicode inválidos. (MFSA 2009-25)

• CVE-2009-1835: Gregory Fleischer descubrió que es posible leer coockies arbitrarias vía un documentos HTML elaborado. (MFSA 2009-26)

• CVE-2009-1836: Shuo Chen, Ziqing Mao, Yi-Min Wang y Ming Zhang reportó un potencial ataque de man-in-the-middle, cuando se usa un proxy debido a la insuficiente verificación en ciertas respuestas del proxy. (MFSA 2009-27)

• CVE-2009-1837: Jakob Balle y Carsten Eiram reportaron una condición de carrera en la función NPObjWrapper_NewResolve que puede ser usada para ejecutar código arbitrario. (MFSA 2009-28)

• CVE-2009-1838: moz_bug_r_a4 descubrió que es posible ejecutar código JavaScript arbitrario con privilegios chrome debido a un error en la implementación del garbage-collector. (MFSA 2009-29)

• CVE-2009-1839: Adam Barth y Collin Jackson reportó un potencial escalamiento de privilegios al abrir un file::resource vía la barra de direcciones. (MFSA 2009-30)

• CVE-2009-1840: Wladimir Palant descubrió que es posible eludir restricciones de acceso debido a la falta de verificación de políticas de contenidos, cuando se carga un fichero de script en un documento XUL. (MFSA 2009-31)

• CVE-2009-1841: moz_bug_r_a4 reportó que es posible para scripts de contenidos de páginas ejecutarse con privilegios elevados y, por lo tanto, potencialmente ejecutar código arbitrario con privilegios de objeto chrome. (MFSA 2009-32)

Para la distribución estable (lenny), estos problemas han sido arreglados en la versión 1.9.0.11-0lenny1.

Como indicaron las notas de liberación de Etch, el soporte de seguridad para los productos Mozilla en la antigua distribución estable debieron ser detenidos antes del fin del ciclo de vida de mantenimiento de seguridad regular. Le recomendamos encarecidamente actualizar a estable o cambiar a un navegador aún soportado.

Para la distribución de pruebas (squeeze), estos problemas serán arreglados a la brevedad.

Para la distribución inestable (sid), estos problemas han sido arreglados en la versión 1.9.0.11-1.

Le recomendamos actualizar sus paquetes xulrunner.

Original (en inglés): http://lists.debian.org/debian-security-announce/2009/msg00132.html