Debian セキュリティ勧告

DSA-2488-1 iceweasel -- 複数の脆弱性

報告日時:
2012-06-07
影響を受けるパッケージ:
iceweasel
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2012-1937, CVE-2012-1940, CVE-2012-1947.
詳細:

Firefox ベースのウェブブラウザ iceweasel に、複数の問題が発見されま した。含まれている XULRunner ライブラリが、Debian で複数の他のアプリ ケーションに対するレンダリングサービスを提供しています。

  • CVE-2012-1937

    Mozilla 開発者の皆様により、任意のコードの実行に繋がる複数のメモリ 破壊バグが発見されました。

  • CVE-2012-1940

    Abhishek Arya さんにより、メモリの解放後利用バグが発見されました。 この問題は、絶対位置に置かれたコンテナのサイズを変更する際のカラ ムレイアウト処理にあり、任意のコードの実行に繋がる可能性がありま す。

  • CVE-2012-1947

    Abhishek Arya さんにより、utf16 から latin-1 文字へのキャラクタセ ット変換処理にヒープベースのバッファオーバフローがあり、任意のコ ードの実行に繋がることが発見されました。

注意:私たちは、Debian 安定版の Iceweasel 3.5 ブランチの利用者に、 Debian backport での提供が開始された Iceweasel 10.0ESR (延長サポートリ リース) にアップグレードすることを薦めたいと考えています。Debian での Iceweasel 3.5 の安定版でのセキュリティサポートは継続しますが、上流での サポートが打ち切られているため、このサポートはベストエフォートでのもの となります、それに加えて、10.0 ブランチではブラウザにセキュリティの問 題に対する事前対策機能が付け加わっています。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバー ジョン 3.5.16-16 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバー ジョン 10.0.5esr-1 で修正されています。

直ぐに iceweasel パッケージをアップグレードすることを勧めます。