商標変更版の Seamonkey Web プログラム群である Iceape に、リモートから攻撃 可能な複数の問題が発見されました。The Common Vulnerabilities and Exposures project は以下の問題を認識しています。
Jesse Ruderman さん、Kai Engert さん、Martijn Wargers さん、Mats Palmgren さんおよび Paul Nickerson さんにより、レイアウトエンジンに任 意のコードの実行が可能となるクラッシュが発見されました。
Carsten Bookさん、Wesley Garland さん、Igor Bukanov さん、moz_bug_r_a4
さん、shutdown
さん、Philip Taylor さん、tgirmann
さんの各氏により、
JavaScriptエンジンに任意のコードの実行が可能となるクラッシュが発見され
ました。
hong
さんと Gregory Fleischer さんにより、ファイルアップロード制御のフ
ァイル入力フォーカス処理に欠陥があり、ローカルファイルの情報が漏洩する
可能性があることが発見されました。
moz_bug_r_a4
さんと Boris Zbarsky さんにより、JavaScript 処理に欠陥が
あり、特権昇格の可能性があることが発見されました。
Justin Dolske さんにより、パスワード格納機能が悪意を持ったウェブサイト から悪用可能で、格納したパスワードを破壊できることが発見されました。
Gerry Eisenhaur さん、および moz_bug_r_a4
さんにより、chrome: URI 処
理にディレクトリトラバーサル欠陥があり、情報漏洩の可能性があることが発
見されました。
David Bloom さんにより、DesignMode エレメントの稼働処理に競合条件があ り、情報漏洩および任意のコードの実行が可能であることが発見されました。
Michal Zalewski さんにより、セキュリティ上重要なダイアログのタイマが、JavaScript を用いたウィ ンドウフォーカス変更処理で (一定時間経過後、ダイアログ要素を無効化することで) 迂回可能であることが発見されました。
格納された添付ファイルに対する不正なコンテンツ宣言により、ユーザが
.txt
拡張子を持つファイル名のローカルファイルを開くことを妨害できるた
め、軽微なサービス拒否攻撃を引き起こせることが発見されました。
Martin Straka さんにより、玲ダイレクト処理中の安全でないスタイルシー トの扱いにより、情報漏洩の可能性があることが発見されました。
Emil Ljungdahl さんと、Lars-Olof Moilanen さんにより、フィッシング防 御機能が <div> 要素により迂回可能であることが発見されました。
旧安定版 (Sarge) での Mozilla 関連製品のセキュリティアップデートはすでに サポートされていません。
安定版 (stable) ディストリビューション (etch) では、これらの問題はバージ ョン 1.0.12~pre080131b-0etch1 で修正されています。
直ぐに iceape パッケージをアップグレードすることを勧めます。
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。