Рекомендация Debian по безопасности

DSA-2437-1 icedove -- несколько уязвимостей

Дата сообщения:
21.03.2012
Затронутые пакеты:
icedove
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2012-0455, CVE-2012-0456, CVE-2012-0458, CVE-2012-0461.
Более подробная информация:

В Icedove, безбрендовой версии почтового/новостного клиента Thunderbird, было обнаружено несколько уязвимостей.

  • CVE-2012-0455

    Сороуш Далили обнаружил, что меры противодействия межсайтовому скриптингу, связанные с URL Javascript, можно обойти.

  • CVE-2012-0456

    Атте Кеттунен обнаружил чтение за пределами выделенного буфера памяти в фильтрах SVG, что приводит к раскрытию содержимого памяти.

  • CVE-2012-0458

    Мариуш Млинский обнаружил, что с помощью URL Javascript в качестве домашней страницы можно повысить привилегии.

  • CVE-2012-0461

    Боб Клэри обнаружил ошибки, связанные с повреждением содержимого памяти, которые могут приводить к выполнению произвольного кода.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 3.0.11-1+squeeze8.

В нестабильном выпуске (sid) эта проблема будет исправлена позже.

Рекомендуется обновить пакеты icedove.