セキュリティ情報 / 2012 / セキュリティ情報 -- DSA-2528-1 icedove

Debian セキュリティ勧告

DSA-2528-1 icedove -- 複数の脆弱性

報告日時:

2012-08-14

影響を受けるパッケージ:

icedove

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2012-1948, CVE-2012-1950, CVE-2012-1954, CVE-2012-1967.

詳細:

メールとニュースのクライアント Mozilla Thunderbird の Debian 版である Icedove に複数の脆弱性が発見されました

• CVE-2012-1948

  ブラウザエンジンの中のとある複数の脆弱性が修正されました。

• CVE-2012-1950

  裏方のブラウザエンジンがドラッグアンドドロップを通してのアドレス バー詐称を許していました。

• CVE-2012-1954

  nsDocument::AdoptNode 関数の中のメモリ開放後利用の脆弱性によって リモートの攻撃者にサービス拒否攻撃（ヒープメモリ破壊）や潜在的に 任意のコードの実行を許していました。

• CVE-2012-1967

  Javascript サンドボックスの実装中の間違いのせいで、javascript: URL を使うと Javascript のコードを不適切な権限で実行させることを 許していました。

安定版 (stable) ディストリビューション (squeeze) では、これらの問題はバー ジョン 3.0.11-1+squeeze12 で修正されています。

テスト版 (wheezy) および不安定版 (unstable) ディストリビューション (sid) では、これらの問題はバージョン 10.0.6-1 で修正されています。

直ぐに icedove パッケージをアップグレードすることを勧めます。