Обнаруженные уязвимости позволяют удаленному пользователю выполнить произвольный код на целевой системе. 1. Удаленный пользователь может создать специально сформированное XBM изображение, вызвать переполнение буфера и выполнить произвольный код на целевой системе. 2. Удаленный пользователь может создать HTML страницу со специально сформированной Unicode последовательностью “zero-width non-joiner” и вызвать отказ в обслуживании браузера или выполнить произвольный код на системе. 3. Уязвимость существует при обработке XMLHttp запросов. Удаленный пользователь может создать специально сформированную HTML страницу, чтобы подменить XMLHttpRequest заголовки для эксплуатации других уязвимостей на системе или генерации XMLHttp запросов к другим хостам. 4. Удаленный пользователь может создать специально сформированную HTML страницу, которая подменит XML объекты и создаст XBL связку для выполнения произвольного JavaScript сценария с повышенными привилегиями. 5. Переполнение целочисленных обнаружено в механизме обработки Javascript. Удаленный пользователь может создать специально сформированную HTML страницу и выполнить произвольный код на целевой системе. 6. Удаленный пользователь может создать специально сформированный HTML код, которая откроет страницу 'about:' и выполнит произвольный Javascript сценарий с повышенными привилегиями.
Вообще-то в Sisyphus и backports/2.4 есть 1.7.12; согласно обсуждению в backports@, сборка переедет в updates, как только будет подтверждение нормальной работы mozilla-mail на Master 2.4.
Увидел. Спасибо за разъяснения.
Люди, использующие mozilla-mail в новой сборке проблем не замечали. Так что ждем в SA updates.
Просьбу переложить пакеты отправил ldv
