セキュリティ情報 / 2012 / セキュリティ情報 -- DSA-2584-1 iceape

Debian セキュリティ勧告

DSA-2584-1 iceape -- 複数の脆弱性

報告日時:

2012-12-08

影響を受けるパッケージ:

iceape

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2012-4201, CVE-2012-4207, CVE-2012-4216, CVE-2012-5829, CVE-2012-5842.

詳細:

複数の脆弱性が Mozilla Seamonkey ベースの Debian インターネットスイート Iceape に見つかりました:

• CVE-2012-5829

  nsWindow::OnExposeEvent 関数のヒープベースのバッファオーバフローがリモートの攻撃者に任意のコードの実行を許す可能性があります。

• CVE-2012-5842

  ブラウザエンジンにある複数の詳細不明の脆弱性により、 リモートの攻撃者はサービス拒否 (メモリ破損およびアプリケーションのクラッシュ) を引き起こすことや、潜在的には任意のコードの実行が可能です。

• CVE-2012-4207

  HZ-GB-2312 文字セットの実装が、文字列集合の区切り文字に近接した ~ (チルダ) 文字を適切に処理しておらず、リモートの攻撃者に、 細工した文書を経由したクロスサイトスクリプティング (XSS) 攻撃の実施を許します。

• CVE-2012-4201

  evalInSandbox の実装が、location.href プロパティをセットする javascript コードの処理中に誤ったコンテキストを利用しています。リモートの攻撃者に、 クロスサイトスクリプティング (XSS) 攻撃の実施や、 あるいはサンドボックスを利用しているアドオンを活用することにより、 任意のファイルの読み取りを許します。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバージョン 2.0.11-17 で修正されています。

テスト版 (testing) ディストリビューション (wheezy) では、この問題はバージョン 2.7.11-1 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 2.7.11-1 で修正されています。

直ちに iceape パッケージをアップグレードすることを勧めます。