Debians sikkerhedsbulletin
DSA-2345-1 icedove -- flere sårbarheder
- Rapporteret den:
- 11. nov 2011
- Berørte pakker:
- icedove
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2011-3647, CVE-2011-3648, CVE-2011-3650.
- Yderligere oplysninger:
-
Flere sårbarheder er opdaget i Icedove, en mailklient baseret på Thunderbird.
- CVE-2011-3647
JSSubScriptLoader håndterede ikke på korrekt vis XPCNativeWrappers under kald til loadSubScript-metoden i en add-on, hvilket gjorde det lettere for fjernangribere at opnå rettigheder via et fabrikeret websted, der udnytter en bestemt unwrapping-virkemåde.
- CVE-2011-3648
En sårbarhed i forbindelse med udførelse af skripter på tværs af websteder (XSS), gjorde det muligt for fjernangribere at indsprøjte vilkårligt webskript eller HTML via fabrikeret tekst med Shift JIS-encoding.
- CVE-2011-3650
Iceweasel håndterede ikke på korrekt vis JavaScript-filer, som indeholder mange funktioner, hvilket gjorde det muligt for brugerhjulpne fjernangribere at forårsage et lammelsesangreb (hukommelseskorruption og applikationsnedbrud) eller muligvis have en ikke-angivet anden virkning via en fabrikeret fil, der tilgås af debugging-API'erne, som demonstreret af Firebug.
I den stabile distribution (squeeze), er disse problemer rettet i version 3.0.11-1+squeeze6.
I distributionen testing (wheezy) og i den ustabile distribution (sid), er disse problemer rettet i version 3.1.15-1.
Vi anbefaler at du opgraderer dine icedove-pakker.
- CVE-2011-3647