### 关键信息 - **公告编号**: DSA-1671-1 - **日期**: 2008年11月24日 - **影响的软件**: iceweasel - **问题类型**: 远程漏洞 #### 漏洞详情 - **CVE编号**: - CVE-2008-0017 - CVE-2008-4582 - CVE-2008-5012 - CVE-2008-5013 - CVE-2008-5014 - CVE-2008-5017 - CVE-2008-5018 - CVE-2008-5021 - CVE-2008-5022 - CVE-2008-5023 - CVE-2008-5024 - **漏洞描述**: - CVE-2008-0017: http-index-format解析器中的缓冲区溢出可能导致任意代码执行。 - CVE-2008-4582: 通过本地快捷方式文件的信息泄漏。 - CVE-2008-5012: 使用canvas元素可以绕过同源限制。 - CVE-2008-5013: Flash插件胶水代码中的不充分检查可能导致任意代码执行。 - CVE-2008-5014: window.\_\_proto\_\_.__proto\_\_对象中的编程错误可能导致任意代码执行。 - CVE-2008-5017: 布局引擎中的崩溃可能导致任意代码执行。 - CVE-2008-5018: Javascript引擎中的崩溃可能导致任意代码执行。 - CVE-2008-5021: nsFrameManager中的崩溃可能导致任意代码执行。 - CVE-2008-5022: nsXMLHttpRequest::NotifyEventListeners()中的同源检查可以被绕过。 - CVE-2008-5023: -moz-binding属性绕过代码基原理的安全检查。 - CVE-2008-5024: E4X文档默认命名空间中不正确转义的引号字符。 #### 修复版本 - **稳定版本 (etch)**: 2.0.0.18-0etch1 - **即将发布的稳定版本 (lenny) 和 不稳定版本 (sid)**: iceweasel 3.0.4-1 和 xulrunner 1.9.0.4-1