Informations de sécurité / 2012 / Informations sur la sécurité -- DSA-2513-1 iceape

Bulletin d'alerte Debian

DSA-2513-1 iceape -- Plusieurs vulnérabilités

Date du rapport :

17 juillet 2012

Paquets concernés :

iceape

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2012-1948, CVE-2012-1954, CVE-2012-1967.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans la suite internet Iceape, une version sans marque de Seamonkey.

• CVE-2012-1948

  Benoit Jacob, Jesse Ruderman, Christian Holler et Bill McCloskey ont identifié plusieurs problèmes de sécurité mémoire qui pourraient conduire à l'exécution de code arbitraire.

• CVE-2012-1954

  Abhishek Arya a découvert un problème d'utilisation de mémoire après libération dans nsDocument::AdoptNode qui pourrait conduire à l'exécution de code arbitraire.

• CVE-2012-1967

  moz_bug_r_a4 a découvert que dans certain cas, les URL javascript: peuvent être exécutées de façon à ce que les scripts puissent s'échapper du bac à sable (sandbox) JavaScript et s'exécuter avec des privilèges élevés. Cela peut conduire à l'exécution de code arbitraire.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2.0.11-14.

Pour les distributions unstable (Sid) et testing (Wheezy), ce problème sera corrigé prochainement.

Nous vous recommandons de mettre à jour vos paquets iceape.