Bulletin d'alerte Debian

DSA-2513-1 iceape -- Plusieurs vulnérabilités

Date du rapport :
17 juillet 2012
Paquets concernés :
iceape
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2012-1948, CVE-2012-1954, CVE-2012-1967.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans la suite internet Iceape, une version sans marque de Seamonkey.

  • CVE-2012-1948

    Benoit Jacob, Jesse Ruderman, Christian Holler et Bill McCloskey ont identifié plusieurs problèmes de sécurité mémoire qui pourraient conduire à l'exécution de code arbitraire.

  • CVE-2012-1954

    Abhishek Arya a découvert un problème d'utilisation de mémoire après libération dans nsDocument::AdoptNode qui pourrait conduire à l'exécution de code arbitraire.

  • CVE-2012-1967

    moz_bug_r_a4 a découvert que dans certain cas, les URL javascript: peuvent être exécutées de façon à ce que les scripts puissent s'échapper du bac à sable (sandbox) JavaScript et s'exécuter avec des privilèges élevés. Cela peut conduire à l'exécution de code arbitraire.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2.0.11-14.

Pour les distributions unstable (Sid) et testing (Wheezy), ce problème sera corrigé prochainement.

Nous vous recommandons de mettre à jour vos paquets iceape.