セキュリティ情報 / 2012 / セキュリティ情報 -- DSA-2433-1 iceweasel

Debian セキュリティ勧告

DSA-2433-1 iceweasel -- 複数の脆弱性

報告日時:

2012-03-15

影響を受けるパッケージ:

iceweasel

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2012-0455, CVE-2012-0456, CVE-2012-0458, CVE-2012-0461.

詳細:

Firefox ベースのウェブブラウザ iceweasel に、複数の問題が発見されま した。含まれている XULRunner ライブラリが、Debian で複数の他のアプリ ケーションに対するレンダリングサービスを提供しています。

• CVE-2012-0455

  Soroush Dalili さんにより、JavaScript URL に対するクロスサイトス クリプティング攻撃への対策が迂回可能であることが発見されました。

• CVE-2012-0456

  Atte Kettunen さんにより、SVG フィルタに範囲外のメモリ読み出しがあ り、メモリ内容の漏洩に繋がることが発見されました。

• CVE-2012-0458

  Mariusz Mlynski さんにより、ホームページの Javascript URL により特 権の昇格が行えることが発見されました。

• CVE-2012-0461

  Bob Clary さんにより、任意のコードの実行に繋がるメモリ破壊バグが発 見されました。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバー ジョン 3.5.16-13 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバー ジョン 10.0.3esr-1 で修正されています。

実験版 (experimental) ディストリビューションでは、この問題はバージョ ン 11.0-1 で修正されています。

直ぐに iceweasel パッケージをアップグレードすることを勧めます。