Debian DSA-2186-1：iceweasel - いくつかの脆弱性

critical Nessus プラグイン ID 52618

Language:

概要

リモート Debian ホストに、セキュリティ更新がありません。

説明

複数の脆弱性が、FireFox ベースの Web ブラウザである Iceweasel で発見されています。含まれている XULRunner ライブラリにより、Debian に含まれている複数の他のアプリケーションにレンダリングサービスが提供されます。

- CVE-2010-1585 Roberto Suggi Liverani 氏は、ParanoidFragmentSink によって実行されるサニタイジングが未完了となっていることを発見しました。

- CVE-2011-0051 Zach Hoffmann 氏は、recursive eval() 呼び出しの不適切な解析により、攻撃者が確認ダイアログで強制的な承認を取る可能性があることを発見しました。

- CVE-2011-0053 レイアウトエンジンでのクラッシュにより、任意のコードが実行されることがあります。

- CVE-2011-0054、CVE-2010-0056 Christian Holler 氏は、任意のコードの実行を引き起こす可能性がある、JavaScript エンジンのバッファオーバーフローを発見しました。

- CVE-2011-0055 「regenrecht」および Igor Bukanov 氏は、任意のコードの実行を引き起こす可能性がある、JSON のインプリメンテーションにおける use-after-free エラーを発見しました。

- CVE-2011-0057 Daniel Kozlowski 氏は、Web Workers のインプリメンテーションを処理する不適切なメモリが、任意のコードの実行を引き起こす可能性があることを発見しました。

- CVE-2011-0059 Peleus Uhley 氏は、プラグインコードにおいてクロスサイトリクエスト偽造のリスクを発見しました。

ソリューション

iceweasel パッケージをアップグレードしてください。

旧安定版（oldstable）ディストリビューション（lenny）の場合、この問題は、 xulrunner ソースパッケージのバージョン 1.9.0.19-8 で修正されています。

安定版（stable）ディストリビューション（squeeze）については、バージョン 3.5.16-5 でこの問題は修正されています。