セキュリティ情報 / 2012 / セキュリティ情報 -- DSA-2513-1 iceape

Debian セキュリティ勧告

DSA-2513-1 iceape -- 複数の脆弱性

報告日時:

2012-07-17

影響を受けるパッケージ:

iceape

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2012-1948, CVE-2012-1954, CVE-2012-1967.

詳細:

複数の欠陥が、Seamonkey の商標非利用版である Iceape 多機能インターネットプログラムに発見されました。

• CVE-2012-1948

  Benoit Jacob, Jesse Ruderman, Christian Holler, Bill McCloskey の各氏により、任意のコードの実行につながるメモリ安全性の問題が確認 されました。

• CVE-2012-1954

  Abhishek Arya さんにより、nsDocument::AdoptNode に任意のコードの実行につながるメモリの開放後利用が発見されました。

• CVE-2012-1967

  moz_bug_r_a4 さんにより、特定の条件下で javascript: URL が Javascript サンドボックス外で昇格した特権下での実行が行えることが 発見されました。これは任意のコードの実行につながります。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバー ジョン 2.0.11-14 で修正されています。

不安定版 (sid) およびテスト版ディストリビューション (wheezy) では、こ の問題は近く修正予定です。

直ぐに iceape パッケージをアップグレードすることを勧めます。