Säkerhetsinformation / 2011 / Säkerhetsinformation -- DSA-2345-1 icedove

Säkerhetsbulletin från Debian

DSA-2345-1 icedove -- flera sårbarheter

Rapporterat den:

2011-11-11

Berörda paket:

icedove

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2011-3647, CVE-2011-3648, CVE-2011-3650.

Ytterligare information:

Flera sårbarheter har upptäckts i Icedove, en e-postklient som är baserad på Thunderbird.

• CVE-2011-3647

  JSSubScriptLoader hanterar inte XPCNativeWrappers ordentligt under anrop till metoden loadSubScript i en tilläggsmodul, vilket gör det lättare för fjärrangripare att få rättigheter via en skapad webbsida som utnyttjar visst unwrapping-beteende.

• CVE-2011-3648

  En sajtöverskridande skriptsårbarhet (XSS) tillåter fjärrangripare att injicera godtyckliga skript eller HTML via skapad text med Shift JIS-kodning.

• CVE-2011-3650

  Iceweasel och Icedove hanterar inte ordentligt JavaScript-filer som innehåller många funktioner, vilket tillåter användar-assisterade fjärrangripare att orsaka en överbelastning (minneskorruption och applikationskrasch) eller möjligen annan ospecificerade ingrepp via en skapad fil som fås åtkomst till via avlusnings-API, vilket har demonstrerats av Firebug.

För den stabila utgåvan (Squeeze) har dessa problem rättats i version 3.0.11-1+squeeze6.

För uttestningsutgåvan (Wheezy) och den instabila utgåvan (Sid) har dessa problem rättats i version 3.1.15-1.

Vi rekommenderar att ni uppgraderar era icedove-paket.