セキュリティ情報 / 2012 / セキュリティ情報 -- DSA-2488-1 iceweasel

Debian セキュリティ勧告

DSA-2488-1 iceweasel -- 複数の脆弱性

報告日時:

2012-06-07

影響を受けるパッケージ:

iceweasel

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2012-1937, CVE-2012-1940, CVE-2012-1947.

詳細:

Firefox ベースのウェブブラウザ iceweasel に、複数の問題が発見されま した。含まれている XULRunner ライブラリが、Debian で複数の他のアプリ ケーションに対するレンダリングサービスを提供しています。

• CVE-2012-1937

  Mozilla 開発者の皆様により、任意のコードの実行に繋がる複数のメモリ 破壊バグが発見されました。

• CVE-2012-1940

  Abhishek Arya さんにより、メモリの解放後利用バグが発見されました。 この問題は、絶対位置に置かれたコンテナのサイズを変更する際のカラ ムレイアウト処理にあり、任意のコードの実行に繋がる可能性がありま す。

• CVE-2012-1947

  Abhishek Arya さんにより、utf16 から latin-1 文字へのキャラクタセ ット変換処理にヒープベースのバッファオーバフローがあり、任意のコ ードの実行に繋がることが発見されました。

注意：私たちは、Debian 安定版の Iceweasel 3.5 ブランチの利用者に、 Debian backport での提供が開始された Iceweasel 10.0ESR (延長サポートリ リース) にアップグレードすることを薦めたいと考えています。Debian での Iceweasel 3.5 の安定版でのセキュリティサポートは継続しますが、上流での サポートが打ち切られているため、このサポートはベストエフォートでのもの となります、それに加えて、10.0 ブランチではブラウザにセキュリティの問 題に対する事前対策機能が付け加わっています。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバー ジョン 3.5.16-16 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバー ジョン 10.0.5esr-1 で修正されています。

直ぐに iceweasel パッケージをアップグレードすることを勧めます。