セキュリティ情報 / 2012 / セキュリティ情報 -- DSA-2514-1 iceweasel

Debian セキュリティ勧告

DSA-2514-1 iceweasel -- 複数の脆弱性

報告日時:

2012-07-17

影響を受けるパッケージ:

iceweasel

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2012-1948, CVE-2012-1950, CVE-2012-1954, CVE-2012-1966, CVE-2012-1967.

詳細:

Firefox ベースのウェブブラウザ iceweasel に、複数の問題が発見されま した。含まれている XULRunner ライブラリが、Debian で複数の他のアプリ ケーションに対するレンダリングサービスを提供しています。

• CVE-2012-1948

  Benoit Jacob, Jesse Ruderman, Christian Holler, Bill McCloskey の各氏により、任意のコードの実行につながるメモリ安全性の問題が確認 されました。

• CVE-2012-1950

  Mario Gomes さんと、Code Audit Labs により、アドレスバーへのドラッ グアンドドロップ操作により、iceweasel に以前に入力した URL を表示させ ることができることが発見されました。これはフィッシング攻撃に悪用可能 です。

• CVE-2012-1954

  Abhishek Arya さんにより、nsDocument::AdoptNode に任意のコードの実 行につながるメモリの開放後利用が発見されました。

• CVE-2012-1966

  moz_bug_r_a4 さんにより、data: URL を使っている場合にコンテキストメ ニューからクロスサイトスクリプティング攻撃を行えることが発見されました。

• CVE-2012-1967

  moz_bug_r_a4 さんにより、特定の条件下で javascript:: URL が Javascript サンドボックス外で昇格した特権下での実行が行えることが発 見されました。これは任意のコードの実行につながります。

注意：私たちは、Debian 安定版の Iceweasel 3.5 ブランチの利用者に、 Debian backport での提供が開始された Iceweasel 10.0ESR (延長サポートリ リース) にアップグレードすることを薦めたいと考えています。Debian での Iceweasel 3.5 の安定版でのセキュリティサポートは継続しますが、上流での サポートが打ち切られているため、このサポートはベストエフォートでのもの となります、それに加えて、10.0 ブランチではブラウザにセキュリティの問 題に対する事前対策機能が付け加わっています。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバー ジョン 3.5.16-17 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバー ジョン 10.0.6esr-1 で修正されています。

直ぐに iceweasel パッケージをアップグレードすることを勧めます。