关键漏洞信息 漏洞公告: DSA-1607-1 影响包: iceweasel (无品牌化的Firefox浏览器) 漏洞类型: 多个远程漏洞 CVE ID: CVE-2008-2798, CVE-2008-2799, CVE-2008-2800, CVE-2008-2801, CVE-2008-2802, CVE-2008-2803, CVE-2008-2805, CVE-2008-2807, CVE-2008-2808, CVE-2008-2809, CVE-2008-2811 漏洞详情 CVE-2008-2798: 布局引擎中的崩溃可能允许执行任意代码。 CVE-2008-2799: JavaScript引擎中的崩溃可能允许执行任意代码。 CVE-2008-2800: 发现多个跨站脚本漏洞。 CVE-2008-2801: 发现在上下文或签名的JAR存档中可以执行JavaScript代码。 CVE-2008-2802: XUL文档可以通过访问预编译的“fastload”文件来提升权限。 CVE-2008-2803: 在mozilla的mozIJSSubScriptLoader.loadSubScript()函数中缺少输入清理可能允许执行任意代码。 CVE-2008-2805: 在解析.properties文件时缺少访问验证允许恶意网站将本地文件上传到服务器。 CVE-2008-2807: 在分析.properties文件时的编程错误可能导致内存内容暴露给附加组件。 CVE-2008-2808: 在目录列表中的文件URL被不充分地转义。 CVE-2008-2809: 自签名证书的备用名称处理不充分可能导致欺骗安全连接。 CVE-2008-2811: 发现在块重排代码中的崩溃可能允许执行任意代码。 解决方案 版本2.0.0.15-0etch1中修复了这些问题。 推荐升级到最新版本的iceweasel包。