Bulletin d'alerte Debian

DSA-2528-1 icedove -- Plusieurs vulnérabilités

Date du rapport :
14 août 2012
Paquets concernés :
icedove
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2012-1948, CVE-2012-1950, CVE-2012-1954, CVE-2012-1967.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Icedove, la version Debian du client de courrier électronique et lecteur de nouvelles Mozilla Thunderbird.

  • CVE-2012-1948

    Plusieurs vulnérabilités non précisées dans le moteur du navigateur ont été corrigées.

  • CVE-2012-1950

    Le moteur du navigateur sous-jacent permet d'usurper la barre d'adresse à l'aide d'un glissé et déposé.

  • CVE-2012-1954

    Une vulnérabilité d'utilisation de mémoire après libération dans la fonction nsDocument::AdoptNode permet aux attaquants distants de provoquer un déni de service (corruption de mémoire de tas) ou éventuellement d'exécuter du code arbitraire.

  • CVE-2012-1967

    Une erreur dans l'implémentation du bac à sable JavaScript permet l'exécution de code JavaScript avec des droits inadéquats en utilisant des URL javascript:.

Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 3.0.11-1+squeeze12.

Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 10.0.6-1.

Nous vous recommandons de mettre à jour vos paquets icedove.