セキュリティ情報 / 2012 / セキュリティ情報 -- DSA-2457-2 iceweasel

Debian セキュリティ勧告

DSA-2457-2 iceweasel -- 複数の脆弱性

報告日時:

2012-05-13

影響を受けるパッケージ:

iceweasel

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2012-0467, CVE-2012-0470, CVE-2012-0471, CVE-2012-0477, CVE-2012-0479.

詳細:

Firefox ベースのウェブブラウザ iceweasel に、複数の問題が発見されました。含まれている XULRunner ライブラリが、Debian で複数の他のアプリケーションに対するレンダリングサービスを提供しています。

• CVE-2012-0467

  Bob Clary, Christian Holler, Brian Hackett, Bobby Holley, Gary Kwong, Hilary Hall, Honza Bambas, Jesse Ruderman, Julian Seward, および Olli Pettay の各氏により、任意のコードの実行に繋がるメモリ破壊バグが発見されました。

• CVE-2012-0470

  Atte Kettunen さんにより、gfxImageSurface にメモリ破壊を起こすバグがあり、 任意のコードの実行が可能であることが発見されました。

• CVE-2012-0471

  Anne van Kesteren さんにより、不正なマルチバイトオクテットエンコーディングによりクロスサイトスクリプティング攻撃に繋がることが発見されました。

• CVE-2012-0477

  Masato Kinugawa さんにより、韓国語と中国語のエンコーディングに誤りがあるため、 クロスサイトスクリプティング攻撃に繋がることが発見されました。

• CVE-2012-0479

  Jeroen van der Gun さんにより、HTTPS を用いた Atom と RSS フィード に詐称を許す欠陥が発見されました。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバージョン 3.5.16-15 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 10.0.4esr-1 で修正されています。

実験版ディストリビューションでは、この問題は近く修正予定です。

直ぐに iceweasel パッケージをアップグレードすることを勧めます。