商標非使用版の Firefox Web ブラウザである Iceweasel に、リモートから攻撃可 能な複数の問題が発見されました。The Common Vulnerabilities and Exposures project は以下の問題を認識しています。
Justin Schuhさん、Tom Cross さんと Peter Williams さんにより、UTF-8 パ ーザにバッファオーバフローが発見されました。この欠陥を攻撃することによ り、任意のコードが実行可能です。
moz_bug_r_a4
さんにより、nsXMLDocument::OnChannelRedirect() の同一オ
リジンチェックがバイパス可能であることが発見されました。
moz_bug_r_a4
さんにより、feedWriter に Chrome 特権昇格に繋がる複数の
欠陥が発見されました。
Paul Nickerson さんにより、攻撃者がマウスクリックの間にウィンドウを移 動できるため、ドラッグアンドドロップにより意図しない動作を起こすことが できることが発見されました。
moz_bug_r_a4
さんにより、XPCNativeWrappers に Chrome 特権昇格に繋が
る欠陥が発見されました。
moz_bug_r_a4
さんにより、XPCNativeWrappers に Chrome 特権昇格に繋が
る欠陥が発見されました。
Olli Pettay さんと moz_bug_r_a4
さんにより、XSLT 処理に Chrome 特権
昇格に繋がる欠陥が発見されました。
Jesse Ruderman さんにより、レイアウトエンジンに任意のコードの実行の可 能性があるクラッシュが発見されました。
Igor Bukanovさん、Philip Taylor さん、Georgi Guninski さんと Antoine Labour さんにより、Javascript エンジンに任意のコードの実行の可能性が あるクラッシュが発見されました。
Dave Reed さんにより、一部の Unicode バイトオーダマークが実行前に Javascript コードから削除されるため、クオートされた文字の一部を実行し てしまうことが発見されました。
Gareth Heyes さんにより、一部の Unicode サロゲート文字が HTML パーザ に無視されることが発見されました。
Boris Zbarsky さんにより、resource:URLs が URL エンコードされたスラ ッシュを含めることにより、ディレクトリトラバーサルが可能であることが 発見されました。
Georgi Guninski さんにより、resource:URLs がローカルのアクセス制限を 回避可能であることが発見されました。
Billy Hoffman さんにより、XBM デコーダが初期化されていないメモリの内 容を暴露する可能性があることが発見されました。
安定版 (stable) ディストリビューション (etch) では、これらの問題はバージ ョン 2.0.0.17-0etch1 で修正されています。hppa 向けのパッケージは近く提供 予定です。
不安定版 (unstable) ディストリビューション (sid) では、これらの問題はバー ジョン 3.0.3 の iceweasel と 1.9.0.3-1 の xulrunner で修正されています。
直ぐに iceweasel パッケージをアップグレードすることを勧めます。
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。