Flere fjernudnytbare sårbarheder er opdaget i internetprogrampakken Iceape, en version af Seamonkey Internet Suite. Projektet Common Vulnerabilities and Exposures har fundet frem til følgende problemer:
Nicolas Derouet opdagede at Iceape udførte utilstrækkelig kontrol på cookies, hvilket kunne føre til lammelsesangreb (denial of service).
Gatan Leurent opdagede en kryptografisk svaghed i APOP-autentification, hvilket formindskede det arbejde, der skulle til at gennemføre et "manden i midten"-angreb (MITM) til at opsnappe en adgangskode. Denne opdatering håndhæver en strengere kontrol, hvilket forhindrer dette angreb.
Boris Zbarsky, Eli Friedman, Georgi Guninski, Jesse Ruderman, Martijn Wargers og Olli Pettay opdagede nedbrud i layoutmaskinen, hvilket kunne gøre det muligt at udføre vilkårlig kode.
Brendan Eich, Igor Bukanov, Jesse Ruderman, moz_bug_r_a4
og Wladimir
Palant opdagede nedbrud i JavaScript-maskinen, hvilket kunne gøre det muligt
at udføre vilkårlig kode.
moz_bug_r_a4
opdagede at tilføjelse af en event-lytter gennem
funktionen addEventListener() tillod udførelse af skripter på tværs af
websteder (cross-site scripting).
Chris Thomas opdagede at XUL-popup'er kunne misbruges til forfalsknings- (spoofing) eller fiskningsangreb (phising).
Rettelser til den gamle stabile distribution (sarge) er ikke tilgængelige. Mens der vil være en ny runde sikkerhedsopdateringer til Mozilla-produkter, har Debian ikke ressourcer til at tilbageføre flere sikkerhedsrettelser til de gamle Mozilla-produkter. Du opfordres kraftigt til så snart som muligt at opgradere til den stabile distribution.
I den stabile distribution (etch) er disse problemer rettet i version 1.0.9-0etch1. En opbygning til arm-arkitekturen er endnu ikke tilgængelig, den vil senere blive stillet til rådighed.
I den ustabile distribution (sid) vil disse problemer snart blive rettet.
Vi anbefaler at du opgraderer dine iceape-pakker.
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.