Informations de sécurité / 2012 / Informations sur la sécurité -- DSA-2528-1 icedove

Bulletin d'alerte Debian

DSA-2528-1 icedove -- Plusieurs vulnérabilités

Date du rapport :

14 août 2012

Paquets concernés :

icedove

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2012-1948, CVE-2012-1950, CVE-2012-1954, CVE-2012-1967.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Icedove, la version Debian du client de courrier électronique et lecteur de nouvelles Mozilla Thunderbird.

• CVE-2012-1948

  Plusieurs vulnérabilités non précisées dans le moteur du navigateur ont été corrigées.

• CVE-2012-1950

  Le moteur du navigateur sous-jacent permet d'usurper la barre d'adresse à l'aide d'un glissé et déposé.

• CVE-2012-1954

  Une vulnérabilité d'utilisation de mémoire après libération dans la fonction nsDocument::AdoptNode permet aux attaquants distants de provoquer un déni de service (corruption de mémoire de tas) ou éventuellement d'exécuter du code arbitraire.

• CVE-2012-1967

  Une erreur dans l'implémentation du bac à sable JavaScript permet l'exécution de code JavaScript avec des droits inadéquats en utilisant des URL javascript:.

Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 3.0.11-1+squeeze12.

Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 10.0.6-1.

Nous vous recommandons de mettre à jour vos paquets icedove.