複数のセキュリティ関連の問題が、Mozilla およびその派生プロダクト Mozilla Thunderbird などに発見されました。Common Vulnerabilities and Exposures プロジェクトでは以下の脆弱性を特定しています。
Fernando Ribeiro さんにより、getRawDER 関数に脆弱性があり、リモートの攻撃者がサービス不能 (DoS) 攻撃 (ハングアップ) や任意のコードの実行を引き起こせることが発見されました。
Daniel Bleichenbacher さんにより、RSA 署名検証に実装ミスがあり、アプリケーションが SSL 証明書を誤って信用してしまうことが最近報告されました。
Priit Laes さんにより、JavaScript 正規表現がヒープベースのバッファオーバフローを引き起こすことで、リモートの攻撃者がサービス不能 (DoS) 攻撃や任意のコードを実行できることが報告されました。
リモートの攻撃者が、セキュリティモデルを迂回して、 他のサイトのサブフレームにコンテンツを注入することができる脆弱性が発見されました。
Georgi Guninski さんにより、メールで JavaScript が無効 (デフォルト) になっているにもかかわらず、メールメッセージを表示・返信・転送の際に、攻撃者が JavaScript を実行できることが示されました。
複数の詳細不明の脆弱性が Firefox、Thunderbird および SeaMonkey にあり、リモートの攻撃者がサービス不能 (DoS) 攻撃やメモリ破壊および任意のコードを実行することが可能です。
安定版ディストリビューション (stable、コードネーム sarge) では、これらの問題はバージョン 1.7.8-1sarge7.3.1 で修正されています。
Mozilla パッケージのアップグレードをお勧めします。
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。