リモートから攻撃可能な複数の脆弱性が、ブランドを除去したバージョンの Firefox ブラウザである Iceweasel ウェブブラウザに見つかっています。Common Vulnerabilities and Exposures プロジェクトでは以下の問題を認識しています:
Ronen Zilberman さんと Michal Zalewski さんは、タイミング依存の競合状態によって、 about:blank フレームにコンテンツの挿入が可能になることを発見しました。
Michal Zalewski さんは、キャッシュされた (wyciwyg) ドキュメントについて、 同一生成元ポリシーの割り当て処置が不十分であることを発見しました。
Bernd Mielke さん、Boris Zbarsky さん、David Baron さん、Daniel Veditz さん、 Jesse Ruderman さん、Lukas Loehrer さん、Martijn Wargers さん、Mats Palmgren さん、 Olli Pettay さん、Paul Nickerson さん、Vladimir Sukhoy さんらは、 レイアウトエンジン中で任意のコードを実行可能になる恐れがあるクラッシュを発見しました。
Asaf Romanoさん、Jesse Ruderman さん、Igor Bukanov さんは、 javascript エンジンで任意のコードを実行可能になる可能性が有るクラッシュを発見しました。
moz_bug_r_a4
さんは、addEventListener() 関数と setTimeout()
関数を使ったクロスサイトスクリプティングが可能なことを発見しました。
moz_bug_r_a4
さんは、イベント処理に権限の上昇を招くプログラムミスがあることを発見しました。
shutdown
さんと moz_bug_r_a4
さんは、XPCNativeWrapper
を利用して任意のコードが実行可能なことを発見しました。
旧安定版ディストリビューション (oldstable、コードネーム sarge) 中の Mozilla 製品はもはやセキュリティ更新を提供されません。安定版への更新を可能な限り強く推奨します。
安定版ディストリビューション (stable、コードネーム etch) では、 これらの問題はバージョン 2.0.0.5-0etch1 で修正されています。 alpha 用、並びに mips 用パッケージはまだ準備が出来ておらず、後ほど提供される予定です。
不安定版ディストリビューション (unstable、コードネーム sid) では、 これらの問題はバージョン 2.0.0.5-1 で修正されています。
iceweasel パッケージのアップグレードをお勧めします。
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。