Flera utifrån nåbara sårbarheter har upptäckts i e-postklienten Icedove, en varumärkesfri version av Thunderbird. Projektet Common Vulnerabilities and Exposures identifierar följande problem:
Bernd Mielke, Boris Zbarsky, David Baron, Daniel Veditz, Jesse Ruderman, Lukas Loehrer, Martijn Wargers, Mats Palmgren, Olli Pettay, Paul Nickerson och Vladimir Sukhoy upptäckte krascher i layoutmotorn, vilka kunde leda till exekvering av godtycklig kod.
Asaf Romano, Jesse Ruderman och Igor Bukanov upptäckte krascher i JavaScript-motorn, vilket kunde leda till exekvering av godtycklig kod.
”moz_bug_r_a4” upptäckte att fel återuppstått i hanteringen av ”about:blank”-fönster som användes av tilläggsprogram, vilket kunde leda till att en angripare kunde modifiera innehållet på webbplatser.
Jesper Johansson upptäckte att saknad städning av dubbla citattecken och blanksteg i URI:er som sändes till externa program kunde göra det möjligt för en angripare att sända godtyckliga kommandon till hjälpprogrammet om användaren luras att öppna en felformaterad webbsida.
L. David Baron, Boris Zbarsky, Georgi Guninski, Paul Nickerson, Olli Pettay, Jesse Ruderman, Vladimir Sukhoy, Daniel Veditz och Martijn Wargers upptäckte krascher i layoutmotorn, vilka kunde leda till exekvering av godtycklig kod.
Igor Bukanov, Eli Friedman och Jesse Ruderman upptäckte krascher i JavaScript-motorn, vilket kunde leda till exekvering av godtycklig kod. Det rekommenderas vanligen inte att aktivera JavaScript i Icedove.
Mozillaprodukterna i den gamla stabila utgåvan (Sarge) stöds inte längre i säkerhetsuppdateringar.
För den stabila utgåvan (Etch) har dessa problem rättats i version 1.5.0.13+1.5.0.14b.dfsg1-0etch1. Byggen för hppa kommer tillhandahållas senare.
För den instabila utgåvan (Sid) kommer dessa problem att rättas inom kort.
Vi rekommenderar att ni uppgraderar era icedove-paket.
MD5-kontrollsummor för dessa filer finns i originalbulletinen.