Fecha del reporte: 16 de dic de 2009

Paquetes afectados: xulrunner

Más información: Múltiples vulnerabilidades remotas han sido descubiertas en Xulrunner, un entorno de ejecución para aplicaciones XUL, como el navegador web Iceweasel, el proyecto Common Vulnerabilities and Exposures identifica los siguientes problemas:

• CVE-2009-3986: David James descubrió que la propiedad window.opener permite escalamiento de privilegios Chrome.

• CVE-2009-3985: Jordi Chanel descubrió una vulnerabilidad de falsificación de la URL de la barra de direcciones usando la propiedad document.location.

• CVE-2009-3984: Jonathan Morgan se descubrió que el icono indicando conexión segura puede ser falsificado a través de la propiedad document.location.

• CVE-2009-3983: Takehiro Takahashi descubrió que la implementación NTLM es vulnerable a ataques de reflexión.

• CVE-2009-3981: Jesse Ruderman descubrió un bloqueo en el motor de diseño, que puede permitir la ejecución de código arbitrario.

• CVE-2009-3979: Jesse Ruderman, Josh Soref, Martijn Wargers, Jose Angel y Olli Pettay descubrieron bloqueos en el motor de diseño, que puede permitir la ejecución de código arbitrario.

Para la distribución estable (lenny), estos problemas han sido arreglados en la versión 1.9.0.16-1.

Para la distribución inestable (sid), estos problemas ha sido arreglados en la versión 1.9.1.6-1.

Le recomendamos actualizar sus paquetes xulrunner.

Original (en inglés): http://lists.debian.org/debian-security-announce/2009/msg00280.html