Informations de sécurité / 2011 / Informations sur la sécurité -- DSA-2345-1 icedove

Bulletin d'alerte Debian

DSA-2345-1 icedove -- Plusieurs vulnérabilités

Date du rapport :

11 novembre 2011

Paquets concernés :

icedove

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2011-3647, CVE-2011-3648, CVE-2011-3650.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Icedove, un client de messagerie basé sur Thunderbird.

• CVE-2011-3647

  Le JSSubScriptLoader ne traite pas correctement XPCNativeWrappers lors des appels à la méthode loadSubScript dans un greffon, ce qui facilite l'obtention de droits aux attaquants distants à l'aide d'un site web contrefait qui exploite un certain comportement de déballage (unwrapping).

• CVE-2011-3648

  Une vulnérabilité de script intersite (XSS) permet aux attaquants distants d'injecter un script web arbitraire ou du HTML à l'aide de texte contrefait avec l'encodage Shift JIS.

• CVE-2011-3650

  Iceweasel ne traite pas correctement les fichiers JavaScript qui contiennent plusieurs fonctions. Cela permet aux attaquants distants aidés par un utilisateur de provoquer un déni de service (corruption de mémoire et plantage d'application) ou éventuellement avoir d'autres conséquences non précisées à l'aide d'un fichier contrefait qui est accédé par les interfaces de programmation de débogage, conformément à la démonstration de Firebug.

Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 3.0.11-1+squeeze6.

Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 3.1.15-1.

Nous vous recommandons de mettre à jour vos paquets icedove.