Bug 19747

Summary: множественные уязвимости, MSFA 2009-14..22
Product: Sisyphus Reporter: Vladimir Lettiev <crux>
Component: xulrunnerAssignee: Andrey Cherepanov <cas>
Status: CLOSED FIXED QA Contact: qa-sisyphus
Severity: blocker    
Priority: P3 Keywords: security
Version: unstable   
Hardware: all   
OS: Linux   
URL: http://www.mozilla.org/security/known-vulnerabilities/firefox30.html

Description Vladimir Lettiev 2009-04-24 01:33:38 MSD 
Обнаружены множественные уязвимости в ветке 3.x:

MFSA 2009-22  Firefox allows Refresh header to redirect to javascript: URIs
MFSA 2009-21 POST data sent to wrong site when saving web page with embedded frame
MFSA 2009-20 Malicious search plugins can inject code into arbitrary sites
MFSA 2009-19 Same-origin violations in XMLHttpRequest and XPCNativeWrapper.toString
MFSA 2009-18 XSS hazard using third-party stylesheets and XBL bindings
MFSA 2009-17 Same-origin violations when Adobe Flash loaded via view-source: scheme
MFSA 2009-16 jar: scheme ignores the content-disposition: header on the inner URI
MFSA 2009-15 URL spoofing with box drawing character
MFSA 2009-14 Crashes with evidence of memory corruption (rv:1.9.0.9)

Апстрим выпустил официальное исправление в версии 3.0.9.
Comment 1 Alexey Gladkov 2009-04-24 01:44:55 MSD 
Вы ошибаетесь в том, что все эти ошибки касаются 3.x. У нас в сизиве 3.1b и xulrunner-1.9.1. Но часть багов относится и к ним.
Comment 2 Alexey Gladkov 2009-04-24 10:26:39 MSD 
Наш firefox собран с xulrunner и не содержит в себе gecko.
Comment 3 Alexey Gladkov 2009-04-24 12:56:19 MSD 
Исправлено в xulrunner/1.9.1-alt1.20090424
Comment 4 Vladimir Lettiev 2009-04-25 21:30:58 MSD 
почему в changelog ни слова об исправлении ошибок безопасности или хотя бы информации о закрытии этого бага?
Comment 5 Alexey Gladkov 2009-04-25 23:06:30 MSD 
Потому что это девелоперский снапшот, а не релиз. В нём закрыта масса багов, а не только эти. Их список был бы слишком обширным.
Comment 6 Vladimir Lettiev 2009-05-25 20:13:33 MSD 
closed