Рекомендация Debian по безопасности
DSA-2584-1 iceape -- несколько уязвимостей
- Дата сообщения:
- 08.12.2012
- Затронутые пакеты:
- iceape
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2012-4201, CVE-2012-4207, CVE-2012-4216, CVE-2012-5829, CVE-2012-5842.
- Более подробная информация:
-
В Iceape, версии набора программ Mozilla Seamonkey для Debian, были обнаружены несколько уязвимостей:
- CVE-2012-5829
Переполнение динамической памяти в функции nsWindow::OnExposeEvent может позволить удалённым злоумышленникам выполнить произвольный код.
- CVE-2012-5842
Многочисленные уязвимости в движке браузера могут позволить удалённым злоумышленникам вызвать отказ в обслуживании (повреждение содержимого памяти и аварийное завершение приложения), либо выполнить произвольный код.
- CVE-2012-4207
Реализация набора символов HZ-GB-2312 неправильно обрабатывает символ ~ (тильда), находящихся в непосредственной близости от разделителя, что позволяет удалённым злоумышленникам выполнять атаки по принципу межсайтового скриптинга (XSS) с помощью специально сформированного документа.
- CVE-2012-4201
Реализация evalInSandbox использует некорректный контекст во время обработки кода на языке JavaScript, которые устанавливает свойство location.href, что позволяет удалённым злоумышленникам выполнять атаки по принципу межсайтового скриптинга (XSS) или считывать произвольные файлы, выходя за границы дополнения.
- CVE-2012-4216
Использование указателей после освобождения памяти в функции gfxFont::GetFontEntry позволяет удалённым злоумышленникам выполнять произвольный код или вызывать отказ в обслуживании (повреждение содержимого динамической памяти) при помощи неуказанных векторов.
В стабильном выпуске (squeeze) эти проблемы были исправлены в версии 2.0.11-17.
В тестируемом выпуске (wheezy) эти проблемы были исправлены в версии 2.7.11-1.
В нестабильном выпуске (sid) эти проблемы были исправлены в версии 2.7.11-1.
Рекомендуется обновить пакеты iceape.
- CVE-2012-5829