1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
|
<define-tag description>Mehrere Verwundbarkeiten</define-tag>
<define-tag moreinfo>
<p>Wir mussten feststellen, dass die Aktualisierung für Mozilla
Firefox in DSA 779-1 leider in mehreren Fällen einen Rückschritt
darstellte. Da die übliche Praxis der Rückportierung anscheinend
nicht funktioniert, ist diese Aktualisierung im Grunde Version
1.0.6, allerdings mit einer zurückgestuften Versionsnummer, weshalb
sie immer noch als 1.0.4-* benannt ist. Der Vollständigkeit halber
ist unten der Text der ursprünglichen Ankündigung wiedergegeben:</p>
<blockquote>
<p>In Mozilla Firefox, einem auf Mozilla basierenden, leichtgewichtigen
Webbrowser, wurden mehrere Probleme entdeckt. Das <q>Common Vulnerabilities
and Exposures project</q> identifiziert die folgenden Probleme:</p>
<ul>
<li><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2260">CAN-2005-2260</a>
<p>Die Benutzerschnittstelle des Browsers unterscheidet nicht korrekt
zwischen Ereignissen, die durch den Benutzer entstehen und solchen, die
synthetisch entstehen und nicht vertrauenswürdig sind. Dadurch wird
es für entfernte Angreifer leichter, gefährliche Aktionen durchzuführen,
die normalerweise nur manuell vom Benutzer durchgeführt werden
können.</p></li>
<li><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2261">CAN-2005-2261</a>
<p>XML-Skripte liefen selbst dann, wenn Javascript ausgeschaltet
war.</p></li>
<li><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2262">CAN-2005-2262</a>
<p>Der Benutzer kann dazu gebracht werden, beliebigen JavaScript-Code
auszuführen, indem er eine JavaScript-URL als Hintergrundbild
verwendet.</p></li>
<li><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2263">CAN-2005-2263</a>
<p>Es ist für einen entfernten Angreifer möglich, eine
Callback-Funktion innerhalb des Kontexts einer anderen Domain
(d.h. Frame) auszuführen.</p></li>
<li><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2264">CAN-2005-2264</a>
<p>Durch das Öffnen eines böswilligen Verweises in der Seitenleiste
ist es für entfernte Angreifer möglich, vertrauliche Informationen
zu stehlen.</p></li>
<li><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2265">CAN-2005-2265</a>
<p>Fehlende Entschärfung der Eingabe in der Funktion
InstallVersion.compareTo() kann den Absturz der Applikation
verursachen.</p></li>
<li><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2266">CAN-2005-2266</a>
<p>Entfernte Angreifer können vertrauliche Informationen wie
Cookies und Passwörter von Webseiten stehlen, indem sie auf Daten
in fremden Frames zugreifen.</p></li>
<li><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2267">CAN-2005-2267</a>
<p>Wenn eigenständige Applikationen wie Flash oder Quicktime zum
Öffnen einer javascript: URL verwendet werden, ist es für entfernte
Angreifer möglich, vertrauliche Informationen zu stehlen und
möglicherweise beliebigen Code auszuführen.</p></li>
<li><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2268">CAN-2005-2268</a>
<p>Es ist für ein JavaScript-Dialogfenster möglich, das Dialogfenster
einer vertrauenswürdigen Seite nachzuahmen und dadurch
Phishing-Angriffe zu erleichtern.</p></li>
<li><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2269">CAN-2005-2269</a>
<p>Entfernte Angreifer können bestimmte Tag-Eigenschaften von
DOM-Knoten ändern und dadurch beliebige Skripts oder Code ausführen.</p></li>
<li><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2270">CAN-2005-2270</a>
<p>Die Mozilla Browserfamilie klonte Basisobjekte nicht
korrekt, wodurch entfernte Angreifer beliebigen Code ausführen
können.</p></li>
</ul>
</blockquote>
<p>Die alte Stable-Distribution (Woody) ist von diesen Problemen nicht
betroffen.</p>
<p>Für die Stable-Distribution (Sarge) wurden diese Probleme in
Version 1.0.4-2sarge3 behoben.</p>
<p>Für die Unstable-Distribution (Sid) wurden diese Probleme in
Version 1.0.6-1 behoben.</p>
<p>Wir empfehlen Ihnen, Ihre Mozilla Firefox-Pakete zu aktualisieren.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2005/dsa-779.data"
#use wml::debian::translation-check translation="793ef2aaf7ac1e7953d45aed262afca75ae7986e" mindelta="1"
# $Id$
|
