Информация по безопасности / 2011 / Информация о безопасности -- DSA-2345-1 icedove

Рекомендация Debian по безопасности

DSA-2345-1 icedove -- несколько уязвимостей

Дата сообщения:

11.11.2011

Затронутые пакеты:

icedove

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2011-3647, CVE-2011-3648, CVE-2011-3650.

Более подробная информация:

В Icedove, почтовом клиенте на основе Thunderbird, было обнаружено несколько уязвимостей.

• CVE-2011-3647

  JSSubScriptLoader неправильно обрабатывает XPCNativeWrappers во время вызовов метода loadSubScript в дополнении, что облегчает удалённым злоумышленникам задачу по получению привилегий с помощью специально сформированного веб-сайта, осуществляющего определённые действия.

• CVE-2011-3648

  Межсайтовый скриптинг (XSS) позволяет удалённым злоумышленникам вводить произвольный веб-сценарий или код HTML с помощью специально сформированного текста в кодировке Shift JIS.

• CVE-2011-3650

  Iceweasel неправильно обрабатывает файлы JavaScript, содержащие много функций, что позволяет удалённым злоумышленникам вызывать отказ в обслуживании (повреждение содержимого памяти и аварийная остановка приложения) или оказывать другое неопределённое влияние на систему с помощью специально сформированного файла, к которому обращаются функции API отладки, например, функции Firebug.

В стабильном выпуске (squeeze) эти проблемы были исправлены в версии 3.0.11-1+squeeze6.

В тестируемом (wheezy) и нестабильном (sid) выпусках эти проблемы были исправлены в версии 3.1.15-1.

Рекомендуется обновить пакеты icedove.