Debian DSA-2569-1：icedove - 多个漏洞

critical Nessus 插件 ID 62748

语言：

简介

远程 Debian 主机缺少与安全相关的更新。

描述

已在 Icedove（Debian 版本的 Mozilla Thunderbird 邮件客户端）中发现多个漏洞：通用漏洞和暴露计划识别以下问题：

- CVE-2012-3982 浏览器引擎中存在多个不明的漏洞，可让远程攻击者通过未知的矢量造成拒绝服务（内存损坏和应用程序崩溃），或可能执行任意代码。

- CVE-2012-3986 Icedove 未正确将调用限为 DOMWindowUtils 方法，这可让远程攻击者通过构建的 JavaScript 代码绕过预期访问限制。

- CVE-2012-3990 IME State Manager 实现中存在释放后使用漏洞可让远程攻击者通过与 nsIContent::GetNameSpaceID 函数相关的不明矢量执行任意代码。

- CVE-2012-3991 Icedove 未正确将 JSAPI 访问限制为 GetProperty 函数，这可让远程攻击者通过构建的网站绕过同源策略，并且可能产生其他不明的影响。

- CVE-2012-4179 nsHTMLCSSUtils::CreateCSSPropertyTxn 函数中存在释放后使用漏洞可让远程攻击者通过不明的矢量执行任意代码或造成拒绝服务（堆内存损坏）。

- CVE-2012-4180 nsHTMLEditor::IsPrevCharInNodeWhitespace 函数中存在基于堆的缓冲区溢出，可让远程攻击者通过不明的矢量执行任意代码。

- CVE-2012-4182 nsTextEditRules::WillInsert 函数中存在释放后使用漏洞可让远程攻击者通过不明的矢量执行任意代码或造成拒绝服务（堆内存损坏）。

- CVE-2012-4186 nsWav-eReader::DecodeAudioData 函数中存在基于堆的缓冲区溢出，可让远程攻击者通过不明的矢量执行任意代码。

- CVE-2012-4188 Convolve3x3 函数中存在基于堆的缓冲区溢出，可让远程攻击者通过不明的矢量执行任意代码。