Thunderbird クライアントの商標非使用版 Icedove メールクライアントに、 リモートから攻撃可能な複数の問題が発見されました。The Common Vulnerabilities and Exposures project は以下の問題を認識しています。
MIME デコード処理にバッファオーバフローがあり、任意のコードの実行が 可能であることが発見されました。
CSS オブジェクトのリファレンスカウンタに配列の範囲チェックが抜けてい るため、任意のコードの実行が可能であることが発見されました。
Devon Hubbard さん、Jesse Ruderman さん、および Martijn Wargers さん により、レイアウトエンジンにクラッシュ条件があり、任意のコードの実行 の可能性があることが発見されました。
Igor Bukanov さん、Jesse Ruderman さん、および Gary Kwong さんにより、 Javascript エンジンにクラッシュ条件があり、任意のコードの実行の可能性 があることが発見されました。
"moz_bug_r_a4" さんにより XUL ドキュメントからコンパイル済みの fastload ファイルを読み込むことにより、特権の昇格が可能であることが発 見されました。
"moz_bug_r_a4" さんにより、mozIJSSubScriptLoader.loadSubScript() 関数 に入力のサニタイズが欠けているため、任意のコードの実行の可能性がある ことが発見されました。Iceweasel 自体には影響はありませんが、アドオン には影響があります。
Daniel Glazman さんにより、.properties ファイルのパーザコードにプログ ラムミスがあり、メモリ内容がアドオンに漏洩するため、情報漏洩の恐れが あることが発見されました。
John G. Myers さん、Frank Benkstein さん、および Nils Toedtmann さん により、自己署名証明書の alternate name が適切に処理されていないため、 安全な接続を詐称できることが発見されました。
Greg McManus さんにより、ブロックリフローコードにクラッシュ条件があ り、任意のコードの実行の可能性があることが発見されました。
安定版 (stable) ディストリビューション (etch) では、これらの問題はバージ ョン 1.5.0.13+1.5.0.15b.dfsg1+prepatch080614d-0etch1 で修正されています。 s390 向けのパッケージは後日提供予定です。
不安定版 (unstable) ディストリビューション (sid) では、これらの問題はバー ジョン 2.0.0.16-1 で修正されています。
直ぐに icedove パッケージをアップグレードすることを勧めます。
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。