Flere fjernudnytbare sårbarheder er opdaget i mailklienten Icedove, en version af Thunderbird-klienten. Projektet Common Vulnerabilities and Exposures har fundet frem til følgende problemer:
Man har opdaget at et bufferoverløb i MIME-dekodningen kunne føre til udførelse af vilkårlig kode.
Man opdagede at manglende grænsekontroller på en referencetæller til CSS-objekter kunne føre til udførelse af vilkårlig kode.
Devon Hubbard, Jesse Ruderman og Martijn Wargers opdagede nedbrud i layout-maskinen, hvilket måske kunne gøre det muligt at udføre vilkårlig kode.
Igor Bukanov, Jesse Ruderman og Gary Kwong opdagede nedbrud i JavaScript-maskinen, hvilket måske kunne gøre det muligt at udføre vilkårlig kode.
moz_bug_r_a4
opdagede at XUL-dokumementer kunne forøge rettigheder
ved at tilgå den prækompilerede "fastload"-fil.
moz_bug_r_a4
opdagede at manglende fornuftighedskontrol af inddata
i funktionen mozIJSSubScriptLoader.loadSubScript() kunne føre til udførelse
af vilkårlig kode. Iceweasel selv er ikke påvirket, men nogle
tilføjelsesprogrammer er.
Daniel Glazman opdagede at en programmeringsfejl i koden til fortolkning af .properties-filer kunne føre til at hukommelsesindhold blev afsløret til tilføjelsesprogrammer, hvilket kunne føre til informationsafsløring.
John G. Myers, Frank Benkstein og Nils Toedtmann opdagede at alternative navne på selvsignerede certifikater blev håndteret på utilstrækkelig vis, hvilket kunne føre til forfalskning af sikre forbindelser.
Greg McManus opdagede et crash i block-reflow-koden, hvilket måske kunne gøre det muligt at udføre vilkårlig kode.
I den stabile distribution (etch), er disse problemer rettet i version 1.5.0.13+1.5.0.15b.dfsg1+prepatch080614d-0etch1. Pakker til s390 er endnu ikke tilgængelige og vil senere blive frigivet.
I den ustabile distribution (sid), er disse problemer rettet i version 2.0.0.16-1.
Vi anbefaler at du opgraderer din icedove-pakke.
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.