Possible security hole in PrefBar < 4.1.1 when installed on SeaMonkey 1.x
PrefBar < 4.1.1 did not use XPCNativeWrapper to securely access the content of the currently visible page. This only affects installations on SeaMonkey 1.x. SeaMonkey 2.x and Firefox >=2.x are not affected, as they enable the wrapper for all extensions, by default.
The following buttons access the content of the currently visible page and may, if used on a maliciously crafted page, allow this page to execute arbitrary code in PrefBar < 4.1.1:
- Kill Flash
- Save Page
- Flash checkbox
- Clone Tab Button
- Server Info Button
- Page2Jpeg Button
- Text URL Button
- Url Path Buttons
Even if this hole is difficult to exploit, I recommend any SeaMonkey 1.x user to upgrade to PrefBar 4.1.1.
Mögliche Sicherheitslücke in PrefBar < 4.1.1, wenn diese auf SeaMonkey 1.x installiert ist
PrefBar < 4.1.1 nutzte keinen XPCNativeWrapper um auf den Inhalt der angzeigten Seite sicher zuzugreifen. Dies betrifft nur Installationen auf SeaMonkey 1.x. SeaMonkey 2.x und Firefox >=2.x sind nicht betroffen, da diese den Wrapper für alle Erweiterungen standardmäßig aktivieren.
Die folgenden Buttons greifen auf den Inhalt der aktuell sichtbaren Seite zu und könnten in PrefBar < 4.1.1 einer böswilligen Seite das Ausführen von beliebigem Code erlauben.:
- Kill Flash
- Save Page
- Flash checkbox
- Clone Tab Button
- Server Info Button
- Page2Jpeg Button
- Text URL Button
- Url Path Buttons
Auch wenn diese Lücke schwer auszunutzen ist, empfehle ich allen SeaMonkey 1.x Nutzern ein Update auf PrefBar 4.1.1.
Copyright © 2000-2009. All rights reserved.
Terms of Use &
Privacy Policy. hosted by: 