blob: 9a5a5ca6002f4a6a85c1b69f073f8fc7945ca63a (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
|
#use wml::debian::translation-check translation="b128ca5f062ffd92dfde8a7b5888d4e87ec075f2"
<define-tag description>複数の脆弱性</define-tag>
<define-tag moreinfo>
<p>Thunderbird クライアントの商標非使用版 Icedove メールクライアントに、
リモートから攻撃可能な複数の問題が発見されました。The Common
Vulnerabilities and Exposures project は以下の問題を認識しています。
</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2009-0040">CVE-2009-0040</a>
<p>細工された PNG ファイルにより未初期化ポインタの解放が (1)
png_read_png 関数、(2) pCAL チャンク処理、(3) 16-bit ガンマテーブ
ルの初期化でおのおの発生するため、任意コードを実行できる可能性があ
ります (MFSA 2009-10)。</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2009-0352">CVE-2009-0352</a>
<p>レイアウトエンジンに関連した攻撃により、任意のコードを実行可能です
(MFSA 2009-01) 。</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2009-0353">CVE-2009-0353</a>
<p>JavaScript エンジンに関連した攻撃により、任意のコードを実行可能です
(MFSA 2009-01) 。</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2009-0652">CVE-2009-0652</a>
<p>Bjoern Hoehrmann さんと、Moxie Marlinspike さんにより、国際化ドメ
イン名中の Unicode の矩形描画文字がフィッシング攻撃に使えることが
発見されました (MFSA 2009-15)。</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2009-0771">CVE-2009-0771</a>
<p>Martijn Wargers さん, Jesse Ruderman さん、および Josh Soref さんに
より、任意のコードの実行の可能性のあるレイアウトエンジンのクラッシ
ュが発見されました (MFSA 2009-07)。</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2009-0772">CVE-2009-0772</a>
<p>Jesse Ruderman さんにより、nsCSSStyleSheet::GetOwnerNode、イベント、
ガベージコレクションに関連した任意のコードの実行の可能性のあるレイ
アウトエンジンのクラッシュが発見されました (MFSA 2009-07)。</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2009-0773">CVE-2009-0773</a>
<p>任意のコードの実行の可能性のある Javascript エンジンのクラッシュが
発見されました (MFSA 2009-07)。</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2009-0774">CVE-2009-0774</a>
<p>gczeal に関連した任意のコードの実行の可能性のある Javascript エン
ジンのクラッシュが発見されました (MFSA 2009-07)。</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2009-0776">CVE-2009-0776</a>
<p>Georgi Guninski さんにより、nsIRDFService に関連した問題により
xml データを採取可能であることが発見されました (MFSA 2009-09)。</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2009-1302">CVE-2009-1302</a>
<p>ブラウザエンジンに複数の攻撃手法を持つメモリ破壊を許す欠陥が発見さ
れました (MFSA 2009-14) 。</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2009-1303">CVE-2009-1303</a>
<p>nsSVGElement::BindToTree 関数にメモリ破壊を許す欠陥が発見されまし
た (MFSA 2009-14) 。</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2009-1307">CVE-2009-1307</a>
<p>Gregory Fleischer さんにより、Flash ファイルの同一オリジン原則が
view-source スキームでロードされたファイルに対して正しく適用され
ていないため、ドメイン間の制限のポリシーを迂回可能であることが発
見されました (MFSA 2009-17) 。</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2009-1832">CVE-2009-1832</a>
<p>"double frame construction" を含む攻撃手法により、任意のコードが
実行可能です (MFSA 2009-24)。</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2009-1392">CVE-2009-1392</a>
<p>icedove のブラウザエンジンに複数の問題があり、任意のコードの実行
が可能であることが発見されました (MFSA 2009-24)。</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2009-1836">CVE-2009-1836</a>
<p>Shuo Chen, Ziqing Mao, Yi-Min Wang および Ming Zhang の各氏によ
り、特定のプロキシ応答のチェックが不十分なため、中間者攻撃の可能
性があることが報告されました (MFSA 2009-27)。</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2009-1838">CVE-2009-1838</a>
<p>moz_bug_r_a4 さんにより、ガベージコレクタの実装ミスにより、任意
の Javascript が Chrome 権限で実行可能であることが発見されまし
た (MFSA 2009-29)。</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2009-1841">CVE-2009-1841</a>
<p>moz_bug_r_a4 さんにより、ページ内容のスクリプトが昇格された特権
で走らせることが可能なため、オブジェクトの chrome 特権で任意の
コードの実行ができることが報告されました (MFSA 2009-32)。</p></li>
<li>CVE 番号未
<p>Bernd Jendrissek さんにより、text/enhanced パートを持つ multipart/
alternative メールメッセージを表示する際の、攻撃の可能性のあるク
ラッシュが発見されました (MFSA 2009-33)。</p></li>
</ul>
<p>安定版 (stable) ディストリビューション (lenny) では、これらの問題はバ
ージョン 2.0.0.22-0lenny1 で修正されています。</p>
<p>Etch リリースノートに記載されているとおり、旧安定版ディストリビューション
での Mozilla プロダクトのセキュリティサポートは通常の etch セキュリティサ
ポートライフサイクルより前に停止せざるを得ませんでした。安定版に更新する
か、サポートされているメールクライアントへの乗り換えを強く推奨します。</p>
<p>テスト版ディストリビューション (squeeze) では、これらの問題は近く修正予定
です。</p>
<p>不安定版 (unstable) ディストリビューション (sid) では、これらの問題はバー
ジョン 2.0.0.22-1 で修正されています。</p>
<p>直ぐに icedove パッケージをアップグレードすることを勧めます。</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2009/dsa-1830.data"
# $Id$
|
