Debian DSA-1840-1：xulrunner - 複数の脆弱性

critical Nessus プラグイン ID 44705

Language:

概要

リモート Debian ホストに、セキュリティ更新がありません。

説明

iceweasel Web ブラウザなどの XUL アプリケーション用 Runtime 環境である、 XULRunner で、複数のリモート脆弱性が発見されています。Common Vulnerabilities and Exposures プロジェクトは次の問題を特定しています：

- CVE-2009-2462 Martijn Wargers 氏、Arno Renevier 氏、Jesse Ruderman 氏、Olli Pettay 氏および Blake Kaplan 氏は、ブラウザエンジンに任意のコードの実行につながる可能性がある複数の問題があることを発見しました。（MFSA 2009-34）

- CVE-2009-2463 monarch2020 氏は、base64 デコード機能に、整数オーバーフローがあることを報告しました。（MFSA 2009-34）

- CVE-2009-2464 Christophe Charron 氏は、複数の RDF ファイルが XUL ツリー要素でロードされたときに悪用できる可能性があるクラッシュが発生することを報告しました。（MFSA 2009-34）

- CVE-2009-2465 Yongqian Li 氏は、特別に細工されたドキュメントによって安全でないメモリ状態が作り出される可能性があることを報告しました。（MFSA 2009-34）

- CVE-2009-2466 Peter Van der Beken 氏、Mike Shaver 氏、Jesse Ruderman 氏および Carsten Book 氏は、JavaScript エンジンに、任意の JavaScript の実行につながる可能性があるいくつかの問題があることを発見しました。（MFSA 2009-34）

- CVE-2009-2467 Attila Suszter 氏は、任意のコードを実行するために利用される可能性がある、特別に細工された Flash オブジェクトに関連する問題があることを発見しました。（MFSA 2009-35）

- CVE-2009-2469 PenPal 氏は、特別に細工された SVG 要素を介して、任意のコードを実行できることを発見しました。
（MFSA 2009-37）

- CVE-2009-2471 Blake Kaplan 氏は、JavaScript エンジンに、攻撃者が chrome 権限で任意の JavaScript を実行することを許可する可能性がある欠陥があることを発見しました。（MFSA 2009-39）

- CVE-2009-2472 moz_bug_r_a4 は、JavaScript エンジンに、クロスサイトスクリプティング攻撃を仕掛けるために利用される可能性がある問題があることを発見しました。（MFSA 2009-40）

ソリューション

xulrunner パッケージをアップグレードしてください。

安定版（stable）ディストリビューション（lenny）では、これらの問題はバージョン 1.9.0.12-0lenny1 で修正されています。

Etch リリースノートに記載されているように、旧安定版（oldstable）ディストリビューションの Mozilla 製品のセキュリティサポートは、標準の Etch セキュリティメンテナンスライフサイクルの終了前に、中止する必要があります。
安定版（stable）への更新、もしくはサポートのあるブラウザへの移行を強くお勧めします。