Bug 19747 - множественные уязвимости, MSFA 2009-14..22
Summary: множественные уязвимости, MSFA 2009-14..22
Status: CLOSED FIXED
Alias: None
Product: Sisyphus
Classification: Development
Component: xulrunner (show other bugs)
Version: unstable
Hardware: all Linux
: P3 blocker
Assignee: Andrey Cherepanov
QA Contact: qa-sisyphus
URL: http://www.mozilla.org/security/known...
Keywords: security
Depends on:
Blocks:
 
Reported: 2009-04-24 01:33 MSD by Vladimir Lettiev
Modified: 2009-05-25 20:13 MSD (History)
0 users

See Also:


Attachments

Note You need to log in before you can comment on or make changes to this bug.
Description Vladimir Lettiev 2009-04-24 01:33:38 MSD
Обнаружены множественные уязвимости в ветке 3.x:

MFSA 2009-22  Firefox allows Refresh header to redirect to javascript: URIs
MFSA 2009-21 POST data sent to wrong site when saving web page with embedded frame
MFSA 2009-20 Malicious search plugins can inject code into arbitrary sites
MFSA 2009-19 Same-origin violations in XMLHttpRequest and XPCNativeWrapper.toString
MFSA 2009-18 XSS hazard using third-party stylesheets and XBL bindings
MFSA 2009-17 Same-origin violations when Adobe Flash loaded via view-source: scheme
MFSA 2009-16 jar: scheme ignores the content-disposition: header on the inner URI
MFSA 2009-15 URL spoofing with box drawing character
MFSA 2009-14 Crashes with evidence of memory corruption (rv:1.9.0.9)

Апстрим выпустил официальное исправление в версии 3.0.9.
Comment 1 Alexey Gladkov 2009-04-24 01:44:55 MSD
Вы ошибаетесь в том, что все эти ошибки касаются 3.x. У нас в сизиве 3.1b и xulrunner-1.9.1. Но часть багов относится и к ним.
Comment 2 Alexey Gladkov 2009-04-24 10:26:39 MSD
Наш firefox собран с xulrunner и не содержит в себе gecko.
Comment 3 Alexey Gladkov 2009-04-24 12:56:19 MSD
Исправлено в xulrunner/1.9.1-alt1.20090424
Comment 4 Vladimir Lettiev 2009-04-25 21:30:58 MSD
почему в changelog ни слова об исправлении ошибок безопасности или хотя бы информации о закрытии этого бага?
Comment 5 Alexey Gladkov 2009-04-25 23:06:30 MSD
Потому что это девелоперский снапшот, а не релиз. В нём закрыта масса багов, а не только эти. Их список был бы слишком обширным.
Comment 6 Vladimir Lettiev 2009-05-25 20:13:33 MSD
closed