Рекомендация Debian по безопасности

DSA-2588-1 icedove -- обновление безопасности

Дата сообщения:
16.12.2012
Затронутые пакеты:
icedove
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2012-4201, CVE-2012-4207, CVE-2012-4216, CVE-2012-5829, CVE-2012-5842.
Более подробная информация:

В Icedove, версии почтового клиента и клиента новостных групп Mozilla Thunderbird для Debian, были обнаружены многочисленные уязвимости.

  • CVE-2012-4201

    Реализация evalInSandbox использует некорректный контекст во время обработки кода на языке JavaScript, которые устанавливает свойство location.href, что позволяет удалённым злоумышленникам выполнять атаки по принципу межсайтового скриптинга (XSS) или считывать произвольные файлы, выходя за границы дополнения.

  • CVE-2012-4207

    Реализация набора символов HZ-GB-2312 неправильно обрабатывает символ ~ (тильда), находящихся в непосредственной близости от разделителя, что позволяет удалённым злоумышленникам выполнять атаки по принципу межсайтового скриптинга (XSS) с помощью специально сформированного документа.

  • CVE-2012-4216

    Использование указателей после освобождения памяти в функции gfxFont::GetFontEntry позволяет удалённым злоумышленникам выполнять произвольный код или вызывать отказ в обслуживании (повреждение содержимого динамической памяти) при помощи неуказанных векторов.

  • CVE-2012-5829

    Переполнение динамической памяти в функции nsWindow::OnExposeEvent может позволить удалённым злоумышленникам выполнить произвольный код.

  • CVE-2012-5842

    Многочисленные уязвимости в движке браузера могут позволить удалённым злоумышленникам вызывать отказ в обслуживании (повреждение содержимого памяти или аварийное завершение работы приложения), либо выполнить произвольный код.

В стабильном выпуске (squeeze) эти проблемы были исправлены в версии 3.0.11-1+squeeze15.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 10.0.11-1.

Рекомендуется обновить пакеты icedove.