Flera utifrån nåbara sårbarheter har upptäckts i Internetsviten Iceape, en varumärkesfri version av Internetsviten Seamonkey. Projektet Common Vulnerabilities and Exposures identifierar följande problem:
Michal Zalewski upptäckte att unload-händelsehanteraren hade tillgång till adressen för nästa sida som skulle läsas in, vilket kunde möjliggöra en informationsläcka eller förfalskning av webbsidor.
Stefano Di Paola upptäckte att otillräcklig städning av användarnamn som
använts i Digest-autentisering på en webbplats gjorde det möjligt för
delningsangrepp mot HTTP-svar (HTTP response splitting
attacks
).
Man har upptäckt att osäker hantering av fokus i filinsändningskontrollen kunde leda till en informationsläcka. Detta är en variant av CVE-2006-2894.
Eli Friedman upptäckte att webbsidor skrivna i Xul-märkkod kunde dölja fönsters titelrad, vilket kunde användas i förfalskningsangrepp.
Georgi Guninski upptäckte att osäker hantering av smb://- och sftp://-URI-scheman kunde leda till en informationsläcka. Sårbarheten kan endast utnyttjas om Gnome-VFS-stöd är tillgängligt på systemet.
”moz_bug_r_a4” upptäckte att skyddsmetoden som tillhandahölls av XPCNativeWrappers kunde förbigås, vilket kunde ge möjlighet till utökning av privilegier.
L. David Baron, Boris Zbarsky, Georgi Guninski, Paul Nickerson, Olli Pettay, Jesse Ruderman, Vladimir Sukhoy, Daniel Veditz och Martijn Wargers upptäckte krascher i layoutmotorn, vilka kunde leda till exekvering av godtycklig kod.
Igor Bukanov, Eli Friedman och Jesse Ruderman upptäckte krascher i JavaScript-motorn, vilket kunde leda till exekvering av godtycklig kod.
Mozillaprodukterna i den gamla stabila utgåvan (Sarge) stöds inte längre i säkerhetsuppdateringar.
För den stabila utgåvan (Etch) har dessa problem rättats i version 1.0.11~pre071022-0etch1.
För den instabila utgåvan (Sid) har dessa problem rättats i version 1.1.5-1.
Vi rekommenderar att ni uppgraderar era iceape-paket.
MD5-kontrollsummor för dessa filer finns i originalbulletinen.