商標変更版の Seamonkey Web プログラム群である Iceape に、リモートから攻撃 可能な複数の問題が発見されました。The Common Vulnerabilities and Exposures project は以下の問題を認識しています。
Justin Schuhさん、Tom Cross さんと Peter Williams さんにより、UTF-8 パ ーザにバッファオーバフローが発見されました。この欠陥を攻撃することによ り、任意のコードが実行可能です。(MFSA 2008-37)
Javascript レイアウトエンジンに任意のコードの実行の可能性があるクラッ シュが発見されました。 (MFSA 2008-20)
"moz_bug_r_a4" さんにより、nsXMLDocument::OnChannelRedirect() の同一オ リジンチェックがバイパス可能であることが発見されました。 (MFSA 2008-38)
"moz_bug_r_a4" さんにより、XPCNativeWrappers に Chrome 特権昇格に繋が る欠陥が発見されました。(MFSA 2008-41)
"moz_bug_r_a4" さんにより、XPCNativeWrappers に Chrome 特権昇格に繋が る欠陥が発見されました。(MFSA 2008-41)
Olli Pettay さんと "moz_bug_r_a4" さんにより、XSLT 処理に Chrome 特権 昇格に繋がる欠陥が発見されました。(MFSA 2008-41)
Jesse Ruderman さんにより、レイアウトエンジンに任意のコードの実行の可 能性があるクラッシュが発見されました。(MFSA 2008-42)
Igor Bukanovさん、Philip Taylor さん、Georgi Guninski さんと Antoine Labour さんにより、Javascript エンジンに任意のコードの実行の可能性が あるクラッシュが発見されました。(MFSA 2008-42)
Dave Reed さんにより、一部の Unicode バイトオーダマークが実行前に Javascript コードから削除されるため、クオートされた文字の一部を実行し てしまうことが発見されました。(MFSA 2008-43)
Boris Zbarsky さんにより、resource:URLs が URL エンコードされたスラ ッシュを含めることにより、ディレクトリトラバーサルを許すことが発見 されました。 (MFSA 2008-44)
Georgi Guninski さんにより、resource:URLs がローカルのアクセス制限を 回避しディレクトリトラバーサル可能であることが発見されました。 (MFSA 2008-44)
ニュース記事の長大なヘッダによるバッファオーバフローが発見されました。 この欠陥を攻撃することにより、任意のコードが実行可能です (MFSA 2008-46)。
Liu Die Yu さんと Boris Zbarsky さんにより、ローカルのショートカ ットファイルによる情報漏洩が発見されました。(MFSA 2008-47, MFSA 2008-59)
Georgi Guninski さん, Michal Zalewski さんおよび Chris Evan さんの各氏 により、canvas element が同一オリジンルールを迂回可能であることが発見 されました。(MFSA 2008-48)
Jesse Ruderman さんにより、window.__proto__.__proto__ オブジェクトのプ ログラムミスにより、任意のコードの実行が可能であることが発見されました。 (MFSA 2008-50)
layout エンジンのクラッシュにより、任意のコードの実行が可能であることが 発見されました。(MFSA 2008-52)
Javascript エンジンのクラッシュにより、任意のコードの実行が可能であるこ とが発見されました。(MFSA 2008-52)
nsFrameManager のクラッシュにより、任意のコードの実行が可能であることが 発見されました。 (MFSA 2008-55)
"moz_bug_r_a4" さんにより、nsXMLHttpRequest::NotifyEventListeners() の 同一オリジンルールを迂回可能であることが発見されました。(MFSA 2008-56)
Chris Evans さんにより、Quote 文字が E4X ドキュメントの標準名前空間で不 適切にエスケープされていることが発見されました。(MFSA 2008-58)
Jesse Ruderman さんにより、レイアウトエンジンが DoS 攻撃に脆弱で、メモ リ破壊や整数オーバフローが発生することが発見されました (MFSA 2008-60)。
Boris Zbarsky さんにより、XBL バインディングによる情報漏洩攻撃が可能で あることが発見されました (MFSA 2008-61)。
Marius Schilder さんにより、XMLHttpRequest を用いて機密情報が取得可能 であることが発見されました (MFSA 2008-64)。
Chris Evans さんにより、Javascript URL を用いて機密情報が取得可能であ ることが発見されました (MFSA 2008-65)
Chip Salzenberg さんにより、空白または制御文字を頭につけた URL を用い てフィッシング攻撃が可能であることが発見されました (MFSA 2008-66)。
「未ロードの文書」に対する XBL バインディングを用いたクロスサイトスク リプティング攻撃が可能であることが発見されました (MFSA 2008-68)。
クローム特権化の任意の Javascript 実行が、未公開の方法で可能であること が発見されました (MFSA 2008-68)。
安定版 (stable) ディストリビューション (etch) では、これらの問題はバージ ョン 1.5.0.13+1.5.0.15b.dfsg1+prepatch080614i-0etch1 で修正されています。 s390 向けは後日提供予定です。
次期安定版ディストリビューション (lenny) では、この問題は近く修正予定です。
不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョ ン 2.0.0.19-1 で修正されています。
直ぐに icedove パッケージをアップグレードすることを勧めます。
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。