Several security related problems have been discovered in Mozilla. The Common Vulnerabilities and Exposures project identifies the following vulnerabilities:
Eric Foley har opdaget at en bruger kunne narres til at blotlægge en lokal fil til en fjernangriber, ved at vise en lokal fil som et billede i forbindelse med andre sårbarheder. [MFSA-2006-39]
XUL-attributter er forbundet med forkerte URL'er under visse omstændigheder, hvilket kunne gøre det muligt for fjernangribere at omgå begrænsninger. [MFSA-2006-35]
Paul Nickerson har opdaget at content-defined-sættere på en objektprototype, blev kaldt af priviligeret brugergrænsefladekode, og "moz_bug_r_a4" demonstrerede at den højere rettighedsgrad kunne sendes videre til den content-defined-angrebskode. [MFSA-2006-37]
En sårbarhed gjorde det muligt for fjernangribere at udføre vilkårlig kode og oprette beskeder, der udføres i en priviligeret kontekst. [MFSA-2006-43]
Mikolaj Habryn har opdaget et bufferoverløb i funktionen crypto.signText, der gjorde det muligt for fjernangribere at udføre vilkårlig kode via visse valgfrie Certificate Authority-navneparametre. [MFSA-2006-38]
Mozilla-teammedlemmer har opdaget flere nedbrud under test af browsermaskinen, som viste tegn på hukommelseskorrpution hvilket også kunne føre til udførelse af vilkårlig kode. Dette problem er kun delvis rettet. [MFSA-2006-32]
Et heltalsoverløb gjorde det muligt for fjernangribere at forårsage et lammelsesangreb (denial of service) og kunne gøre det muligt at udføre vilkårlig kode. [MFSA-2006-32]
Chuck McAuley har opdaget at en tekstindtastningsboks kunne forudfyldes med et filnavn, og dernæst ændres til en filoplægningskontrol, hvilket gjorde det muligt for et ondsindet websted at stjæle enhver lokal fil hvis navn de kunne gætte. [MFSA-2006-41, MFSA-2006-23, CVE-2006-1729]
Masatoshi Kimura har opdaget at Unicode Byte-order-Mark (BOM) fjernes fra UTF-8-sider under en konvertering til Unicode, før fortolkeren ser websiden, hvilket gjorde det muligt for fjernangribere at iværksætte angreb i forbindelse med udførelse af skripter på tværs af websteder (cross site scripting, XSS). [MFSA-2006-42]
Paul Nickerson har opdaget at rettelsen til CAN-2005-0752 kunne omgås ved hjælp af nestede JavaScript:-URL'er, hvilket gjorde det muligt for fjernangribere at udføre priviligeret kode. [MFSA-2005-34, MFSA-2006-36]
Paul Nickerson demonstrerede at, hvis en angriber kunne overbevise en bruger om at højreklikke på et ødelagt billede og vælge "View Image" fra kontekstmenu, kunne vedkommende dernæst køre JavaScript. [MFSA-2006-34]
Kazuho Oku har opdaget at Mozillas lemfældige håndtering af HTTP-headersyntaks kunne gøre det muligt for fjernangribere at narre browseren til at fortolke visse svar som om de var svar fra to forskellige websteder. [MFSA-2006-33]
Mozilla-efterforskeren "moz_bug_r_a4" har opdaget at JavaScript der køres gennem EvalInSandbox, kun undslippe sandkassen og opnå forøgede rettigheder. [MFSA-2006-31]
I den stabile distribution (sarge) er disse problemer rettet i version 1.0.4-2sarge9.
I den ustabile distribution (sid) er disse problemer rettet i version 1.5.dfsg+1.5.0.4-1.
Vi anbefaler at du opgraderer dine Mozilla Firefox-pakker.
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.