Mehrere entfernt ausnutzbare Verwundbarkeiten wurden in der
Iceape-Internet-Suite entdeckt, einer wegen Markenproblemen
umbenannten Version der Seamonkey-Internet-Suite. Das Common
Vulnerabilities and Exposures
-Projekt identifiziert die folgenden
Probleme:
Ronen Zilberman und Michal Zalewski entdeckten, dass eine Race-Condition die Einschleusung von Inhalten in about:blank-Frames ermöglicht.
Michal Zalewski entdeckte, dass same-origin
-Richtlinien
für wyciwyg://-Dokumente unzureichend sichergestellt werden.
Bernd Mielke, Boris Zbarsky, David Baron, Daniel Veditz, Jesse Ruderman, Lukas Loehrer, Martijn Wargers, Mats Palmgren, Olli Pettay, Paul Nickerson und Vladimir Sukhoy entdeckten Abstürze in der Layout-Engine, die die Ausführung beliebigen Codes ermöglichen könnten.
Asaf Romano, Jesse Ruderman und Igor Bukanov entdeckten Abstürze in der Javascript-Engine, die die Ausführung beliebigen Codes ermöglichen könnten.
moz_bug_r_a4
entdeckte, dass die Funktionen addEventListener()
und setTimeout() Site-übergreifendes Skripting ermöglichen.
moz_bug_r_a4
entdeckte, dass ein Programmierfehler im Umgang mit
Ereignissen eine Privilegienerweiterung ermöglicht.
shutdown
und moz_bug_r_a4
entdeckten, dass
XPCNativeWrapper die Ausführung beliebigen Codes ermöglichen könnte.
Die Mozilla-Produkte in der Oldstable-Distribution (Sarge) werden nicht mehr mit Sicherheitsaktualisierungen unterstützt. Es wird dringendst empfohlen, so schnell wie möglich auf Stable zu aktualisieren.
Für die Stable-Distribution (Etch) wurden diese Probleme in Version 1.0.10~pre070720-0etch1 behoben. Ein Build für die Mips-Architektur ist noch nicht verfügbar und wird später bereitgestellt.
Für die Unstable-Distribution (Sid) wurden diese Probleme in Version 1.1.3-1 behoben.
Wir empfehlen Ihnen, Ihre iceape-Pakete zu aktualisieren.
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.