blob: 06f2d25ccee8848887b8b01d352f179aa39efa4a (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
|
#use wml::debian::translation-check translation="b128ca5f062ffd92dfde8a7b5888d4e87ec075f2"
<define-tag description>複数の欠陥</define-tag>
<define-tag moreinfo>
<p>
商標変更版の Seamonkey Web プログラム群である Iceape に、リモートから攻撃
可能な複数の問題が発見されました。The Common Vulnerabilities and Exposures
project は以下の問題を認識しています。
</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2008-0016">CVE-2008-0016</a>
<p>
Justin Schuhさん、Tom Cross さんと Peter Williams さんにより、UTF-8 パ
ーザにバッファオーバフローが発見されました。この欠陥を攻撃することによ
り、任意のコードが実行可能です。(MFSA 2008-37)
</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2008-1380">CVE-2008-1380</a>
<p>
Javascript レイアウトエンジンに任意のコードの実行の可能性があるクラッ
シュが発見されました。 (MFSA 2008-20)
</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2008-3835">CVE-2008-3835</a>
<p>
"moz_bug_r_a4" さんにより、nsXMLDocument::OnChannelRedirect() の同一オ
リジンチェックがバイパス可能であることが発見されました。
(MFSA 2008-38)
</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2008-4058">CVE-2008-4058</a>
<p>
"moz_bug_r_a4" さんにより、XPCNativeWrappers に Chrome 特権昇格に繋が
る欠陥が発見されました。(MFSA 2008-41)
</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2008-4059">CVE-2008-4059</a>
<p>
"moz_bug_r_a4" さんにより、XPCNativeWrappers に Chrome 特権昇格に繋が
る欠陥が発見されました。(MFSA 2008-41)
</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2008-4060">CVE-2008-4060</a>
<p>
Olli Pettay さんと "moz_bug_r_a4" さんにより、XSLT 処理に Chrome 特権
昇格に繋がる欠陥が発見されました。(MFSA 2008-41)
</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2008-4061">CVE-2008-4061</a>
<p>
Jesse Ruderman さんにより、レイアウトエンジンに任意のコードの実行の可
能性があるクラッシュが発見されました。(MFSA 2008-42)
</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2008-4062">CVE-2008-4062</a>
<p>
Igor Bukanovさん、Philip Taylor さん、Georgi Guninski さんと Antoine
Labour さんにより、Javascript エンジンに任意のコードの実行の可能性が
あるクラッシュが発見されました。(MFSA 2008-42)
</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2008-4065">CVE-2008-4065</a>
<p>
Dave Reed さんにより、一部の Unicode バイトオーダマークが実行前に
Javascript コードから削除されるため、クオートされた文字の一部を実行し
てしまうことが発見されました。(MFSA 2008-43)
</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2008-4067">CVE-2008-4067</a>
<p>
Boris Zbarsky さんにより、resource:URLs が URL エンコードされたスラ
ッシュを含めることにより、ディレクトリトラバーサルを許すことが発見
されました。 (MFSA 2008-44)
</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2008-4068">CVE-2008-4068</a>
<p>
Georgi Guninski さんにより、resource:URLs がローカルのアクセス制限を
回避しディレクトリトラバーサル可能であることが発見されました。
(MFSA 2008-44)
</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2008-4070">CVE-2008-4070</a>
<p>
ニュース記事の長大なヘッダによるバッファオーバフローが発見されました。
この欠陥を攻撃することにより、任意のコードが実行可能です (MFSA 2008-46)。
</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2008-4582">CVE-2008-4582</a>
<p>
Liu Die Yu さんと Boris Zbarsky さんにより、ローカルのショートカ
ットファイルによる情報漏洩が発見されました。(MFSA 2008-47,
MFSA 2008-59)
</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2008-5012">CVE-2008-5012</a>
<p>
Georgi Guninski さん, Michal Zalewski さんおよび Chris Evan さんの各氏
により、canvas element が同一オリジンルールを迂回可能であることが発見
されました。(MFSA 2008-48)
</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2008-5014">CVE-2008-5014</a>
<p>
Jesse Ruderman さんにより、window.__proto__.__proto__ オブジェクトのプ
ログラムミスにより、任意のコードの実行が可能であることが発見されました。
(MFSA 2008-50)
</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2008-5017">CVE-2008-5017</a>
<p>
layout エンジンのクラッシュにより、任意のコードの実行が可能であることが
発見されました。(MFSA 2008-52)
</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2008-5018">CVE-2008-5018</a>
<p>
Javascript エンジンのクラッシュにより、任意のコードの実行が可能であるこ
とが発見されました。(MFSA 2008-52)
</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2008-5021">CVE-2008-5021</a>
<p>
nsFrameManager のクラッシュにより、任意のコードの実行が可能であることが
発見されました。 (MFSA 2008-55)
</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2008-5022">CVE-2008-5022</a>
<p>
"moz_bug_r_a4" さんにより、nsXMLHttpRequest::NotifyEventListeners() の
同一オリジンルールを迂回可能であることが発見されました。(MFSA 2008-56)
</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2008-5024">CVE-2008-5024</a>
<p>
Chris Evans さんにより、Quote 文字が E4X ドキュメントの標準名前空間で不
適切にエスケープされていることが発見されました。(MFSA 2008-58)
</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2008-5500">CVE-2008-5500</a>
<p>
Jesse Ruderman さんにより、レイアウトエンジンが DoS 攻撃に脆弱で、メモ
リ破壊や整数オーバフローが発生することが発見されました (MFSA 2008-60)。
</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2008-5503">CVE-2008-5503</a>
<p>
Boris Zbarsky さんにより、XBL バインディングによる情報漏洩攻撃が可能で
あることが発見されました (MFSA 2008-61)。
</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2008-5506">CVE-2008-5506</a>
<p>
Marius Schilder さんにより、XMLHttpRequest を用いて機密情報が取得可能
であることが発見されました (MFSA 2008-64)。
</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2008-5507">CVE-2008-5507</a>
<p>
Chris Evans さんにより、Javascript URL を用いて機密情報が取得可能であ
ることが発見されました (MFSA 2008-65)
</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2008-5508">CVE-2008-5508</a>
<p>
Chip Salzenberg さんにより、空白または制御文字を頭につけた URL を用い
てフィッシング攻撃が可能であることが発見されました (MFSA 2008-66)。
</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2008-5511">CVE-2008-5511</a>
<p>
「未ロードの文書」に対する XBL バインディングを用いたクロスサイトスク
リプティング攻撃が可能であることが発見されました (MFSA 2008-68)。
</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2008-5512">CVE-2008-5512</a>
<p>
クローム特権化の任意の Javascript 実行が、未公開の方法で可能であること
が発見されました (MFSA 2008-68)。
</p></li>
</ul>
<p>
安定版 (stable) ディストリビューション (etch) では、これらの問題はバージ
ョン 1.5.0.13+1.5.0.15b.dfsg1+prepatch080614i-0etch1 で修正されています。
s390 向けは後日提供予定です。
</p>
<p>
次期安定版ディストリビューション (lenny) では、この問題は近く修正予定です。
</p>
<p>
不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョ
ン 2.0.0.19-1 で修正されています。
</p>
<p>直ぐに icedove パッケージをアップグレードすることを勧めます。</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2009/dsa-1696.data"
|
